Các Gadget của Google mở cửa cho những tấn công!

Quản trị mạng - Những người yêu thích các Gadget của Google đã bị nhận một cú sốc khi vào hôm thứ Tư vừa qua khi có hai nhà nghiên cứu về bảo mật đã trình bày một vấn đề mà họ gọi là “lỗ hổng” trong buổi trình bày tại Black Hat.

Họ cho rằng, “Kẻ tấn công có thể cài đặt các Gadget của Google; chúng có thể đọc “history” trong quá trình tìm kiếm của các nạn nhân khi một gadget mã độc nào đó được cài đặt trong một số tình huống; những kẻ tấn công này có thể tấn công các Gadget khác của Google; chúng có thể giả mạo username và password từ các nạn nhân và,… khi trình duyệt nằm trong sự kiểm soát của một kẻ tấn công thi điều này càng bị trầm trọng bởi sự thật rất nhiều người tin tưởng vào Google là một domain tin cậy, chính sự tịn cậy vẫn có này càng làm cho họ có thể bị tấn công dễ dàng hơn”. Theo K Robert Hansen.

Bên cạnh đó Hansen cũng nói rằng, người dùng dễ bị tấn công nhất là những người sử dụng Google và đặc biệt là Gmail, vì dịch vụ email trên web của Google này yêu cầu họ phải thực hiện đăng nhập. Tấn công sẽ nhờ vào những hành động khi người dùng bổ sung thêm các modul; họ có thể bị đánh lừa trong khi bổ sung thêm các modul Google mã độc vào các trang chủ iGoogle của họ. “Những người dùng này hầu như đều sử dụng JavaScript và các trình duyệt web thông thường, chính vì vậy càng làm cho họ dễ bị gặp phải nhiều kiểu tấn công khác”, ông ta nói thêm như vậy.

Tom Stracener, một nhà phân tích bảo mật ở Cenzic và là người đồng trình bày với Hansen, đã phác thảo ra những mối nguy hại dưới đây:

  • Gadget có thể tấn công các Gadget khác: Ảnh hưởng tiềm tàng của các tấn công này là thông qua hành vi đánh cắp cookie, qua hành vi đánh cắp này, kẻ tấn công có thể đánh cắp được các thông tin quan trọng và nhậy cảm của người dùng từ Gadget.
  • Gadget có thể tấn công người dùng: Theo kiểu tấn cộng từ phishing đến giả mạo yêu cầu liên kết chéo giữa các trang (khi người dùng theo một liên kết hoặc kích vào một biểu mẫu).
  • Tự động bổ sung một Gadget: Một trang mã độc có thể bổ sung Gadget vào trang chủ iGoogle của người dùng mà họ không hề hay biết và từ đó vô tình giúp cho malware dễ dàng phát tát.
  • Đăng nhập vào một tài khoản Google liên tục: Một Gadget có thể ghi một user nào đó vào một tài khoản Google khác và kiểm tra các yêu cầu tìm kiếm.
Thứ Hai, 11/08/2008 09:32
31 👨 217
0 Bình luận
Sắp xếp theo