Những lỗi bảo mật mới phát hiện trong ứng dụng Google Desktop có thể "mở cửa" PC cho tin tặc đột nhập và ăn cắp dữ liệu trên PC của người dùng.
Ngay sau khi báo cáo cảnh báo và video trình bày rõ ràng cách thức khai thác những lỗi nói trên được hãng bảo mật Watchfire đưa lên Internet, Google gần như ngay lập tức phát hành bản vá lỗi.
Trong số những lỗi bảo mật được Watchfire phát hiện có một lỗi XSS (cross-site scripting) có thể bị tin tặc lợi dụng để ăn cắp dữ liệu trên các hệ thống PC mắc lỗi.
Google Desktop sử dụng cùng một công nghệ tìm kiếm tương tự như động cơ tìm kiếm trên web của Google. Công cụ cho phép người dùng cso thể tìm kiếm và lập chỉ mục dữ liệu trên PC cá nhân và mạng chia sẻ. Những dữ liệu này có thể đươc lưu tạm thời trên máy chủ của Google.
Giám đốc nghiên cứu bảo mật của Watchfire Danny Allan cho biết tin tặc có thể lợi dụng lỗi XSS để chiếm quyền điều khiển các tính năng của Google Desktop phục vụ cho mục đích riêng của chúng.
Tích hợp phần mềm trên PC và ứng dụng tìm kiếm Google Search chính là một điểm yếu chết người trong công nghệ của Google. Điều này khiến cho các phần mềm bảo mật thông tin trên hệ thống như phần mềm chống virus hay tường lửa không thể phát hiện được những vụ tấn công nhắm vào các lỗi bảo mật vừa phát hiện, Allan cho biết.
Để tấn công Google Desktop tin tặc sử dụng JavaScript thay vì sử dụng mã nhị phân như trong cách thức tấn công các phần mềm PC khác. Với phương thức khai thác này tin tặc có thể từ xa chiếm quyền toàn bộ quyền điều khiển hệ thống mắc lỗi. Chúng có thể lấy được mọi dữ liệu từ mật khẩu, thông tin tài khoản ngân hàng đến lịch sử truy cập web của người dùng ...
"Chúng tôi đã nhanh chóng phát hành bản cập nhật để khắc phục các lỗi bảo mật nói trên. Người dùng không cần thiết phải tải về những bản cập nhật nói trên. Chúng được tự động chuyển phát thông qua tính năng tự động cập nhật của Google Desktop," Google khẳng định. "Chúng tôi sẽ tiếp tục kiểm tra mọi phiên bản Google Desktop khác. Nếu phát hiện lỗi sẽ cho khắc phục đầy đủ nhằm bảo vệ người dùng".
Google khuyến cáo người dùng nên nhanh chóng nâng cấp lên phiên bản Google Desktop mới nhất.
Cả Google và Watchfire đều khẳng định hiện vẫn chưa ghi nhận được bất kỳ vụ tấn công người dùng nào thông qua việc lợi dụng lỗi bảo mật vừa phát hiện.
Lỗi trong gốc rễ
Giám đốc nghiên cứu bảo mật Allan vẫn một mực khẳng định Google Desktop vẫn mắc lỗi XSS. Nguyên nhân không phải là Google chưa vá lỗi mà ở trong chính kiến trúc phần mềm liên kết giữa máy chủ Google web và ứng dụng Google Desktop trên PC của người dùng.
"Vâng những lỗi bảo mật vừa phát hiện đã được khắc phục. Nhưng chúng tôi muốn khuyến cáo Google nên loại bỏ mối liên kết giữa Google.com với PC người dùng. Loại bỏ mối liên kết này sẽ loại bỏ được hiểm hoạ tin tặc có thể kết nối trực tiếp vào PC người dùng. Tốt nhất là Google nên cho phép người dùng được lựa chọn có nên kết nối vào máy chủ web của Google hay không," Allan cảnh báo.
Nhờ mối liên kết này mà Google Desktop xuất hiện như một thẻ (tag) bên cạnh các thẻ khác như Images hay News trên trang chủ Google nếu người dùng đã cài đặt ứng dụng. Tính năng này cho phép người dùng chuyển qua lại nhanh chóng thuận tiện giữa Google Desktop với tìm kiếm trên Internet.
"Thảm hoạ có thể sẽ xảy ra nếu có thêm một lỗi bảo mật nữa được phát hiện trong ứng dụng Google Desktop," Allan cảnh báo.
Hoàng Dũng
Google vá lỗi "chết người" cho Desktop Search
90
Bạn nên đọc
-
Sử dụng ống kính tele
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
OpenDNS là gì, những ưu điểm, nhược điểm của OpenDNS
-
Age of Empires Mobile chốt thời điểm ra mắt chính thức trên iOS và Android
-
5 cách khởi chạy nhanh chương trình trên Windows
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
Code Super Kage: New Generation mới nhất và cách nhập code
Hôm qua 1 -
Code Huyền Thoại Kiêu Hùng mới nhất và cách nhập
Hôm qua -
TOP 13 phần mềm điều khiển máy tính từ xa miễn phí, tốt nhất
Hôm qua -
Nguyên nhân gây sai giờ trên Windows 10/11 và cách khắc phục
Hôm qua -
Xóa Messenger đi, Facebook đã tích hợp nền tảng nhắn tin trở lại giao diện chính
Hôm qua -
Sự khác biệt giữa Bridge và Router
Hôm qua 2 -
Cách chuyển đổi từ Legacy sang UEFI trong BIOS
Hôm qua 4 -
Cách tắt thông báo tin nhắn ai đó trên iPhone
Hôm qua -
Cách kích hoạt Local User and Group Management trong Windows 11 và 10 Home
Hôm qua -
Cách sửa lỗi định dạng số khi dùng Mail Merge trong Word
Hôm qua