Google vá lỗi "chết người" cho Desktop Search

Những lỗi bảo mật mới phát hiện trong ứng dụng Google Desktop có thể "mở cửa" PC cho tin tặc đột nhập và ăn cắp dữ liệu trên PC của người dùng.

Ngay sau khi báo cáo cảnh báo và video trình bày rõ ràng cách thức khai thác những lỗi nói trên được hãng bảo mật Watchfire đưa lên Internet, Google gần như ngay lập tức phát hành bản vá lỗi.

Trong số những lỗi bảo mật được Watchfire phát hiện có một lỗi XSS (cross-site scripting) có thể bị tin tặc lợi dụng để ăn cắp dữ liệu trên các hệ thống PC mắc lỗi.

Google Desktop sử dụng cùng một công nghệ tìm kiếm tương tự như động cơ tìm kiếm trên web của Google. Công cụ cho phép người dùng cso thể tìm kiếm và lập chỉ mục dữ liệu trên PC cá nhân và mạng chia sẻ. Những dữ liệu này có thể đươc lưu tạm thời trên máy chủ của Google.

Giám đốc nghiên cứu bảo mật của Watchfire Danny Allan cho biết tin tặc có thể lợi dụng lỗi XSS để chiếm quyền điều khiển các tính năng của Google Desktop phục vụ cho mục đích riêng của chúng.

Tích hợp phần mềm trên PC và ứng dụng tìm kiếm Google Search chính là một điểm yếu chết người trong công nghệ của Google. Điều này khiến cho các phần mềm bảo mật thông tin trên hệ thống như phần mềm chống virus hay tường lửa không thể phát hiện được những vụ tấn công nhắm vào các lỗi bảo mật vừa phát hiện, Allan cho biết.

Để tấn công Google Desktop tin tặc sử dụng JavaScript thay vì sử dụng mã nhị phân như trong cách thức tấn công các phần mềm PC khác. Với phương thức khai thác này tin tặc có thể từ xa chiếm quyền toàn bộ quyền điều khiển hệ thống mắc lỗi. Chúng có thể lấy được mọi dữ liệu từ mật khẩu, thông tin tài khoản ngân hàng đến lịch sử truy cập web của người dùng ...

"Chúng tôi đã nhanh chóng phát hành bản cập nhật để khắc phục các lỗi bảo mật nói trên. Người dùng không cần thiết phải tải về những bản cập nhật nói trên. Chúng được tự động chuyển phát thông qua tính năng tự động cập nhật của Google Desktop," Google khẳng định. "Chúng tôi sẽ tiếp tục kiểm tra mọi phiên bản Google Desktop khác. Nếu phát hiện lỗi sẽ cho khắc phục đầy đủ nhằm bảo vệ người dùng".

Google khuyến cáo người dùng nên nhanh chóng nâng cấp lên phiên bản Google Desktop mới nhất.

Cả Google và Watchfire đều khẳng định hiện vẫn chưa ghi nhận được bất kỳ vụ tấn công người dùng nào thông qua việc lợi dụng lỗi bảo mật vừa phát hiện.

Lỗi trong gốc rễ

Giám đốc nghiên cứu bảo mật Allan vẫn một mực khẳng định Google Desktop vẫn mắc lỗi XSS. Nguyên nhân không phải là Google chưa vá lỗi mà ở trong chính kiến trúc phần mềm liên kết giữa máy chủ Google web và ứng dụng Google Desktop trên PC của người dùng.

"Vâng những lỗi bảo mật vừa phát hiện đã được khắc phục. Nhưng chúng tôi muốn khuyến cáo Google nên loại bỏ mối liên kết giữa Google.com với PC người dùng. Loại bỏ mối liên kết này sẽ loại bỏ được hiểm hoạ tin tặc có thể kết nối trực tiếp vào PC người dùng. Tốt nhất là Google nên cho phép người dùng được lựa chọn có nên kết nối vào máy chủ web của Google hay không," Allan cảnh báo.

Nhờ mối liên kết này mà Google Desktop xuất hiện như một thẻ (tag) bên cạnh các thẻ khác như Images hay News trên trang chủ Google nếu người dùng đã cài đặt ứng dụng. Tính năng này cho phép người dùng chuyển qua lại nhanh chóng thuận tiện giữa Google Desktop với tìm kiếm trên Internet.

"Thảm hoạ có thể sẽ xảy ra nếu có thêm một lỗi bảo mật nữa được phát hiện trong ứng dụng Google Desktop," Allan cảnh báo.

Hoàng Dũng