最新新聞 | 論壇 | 英國新聞 | 美國新聞 | 國際新聞 | 政治報紙 | Sci技術新聞 | 戰爭&恐怖主義新聞 | 體育新聞 | 多媒體 | 設置主頁

星期四， 2008年8月7日

由 威廉傑克遜 | 一件樂趣事關於交互式世界網2.0是您能利用的線上申請，例如Google小配件。

 

Google描述小配件作為「提供涼快和動態內容在所有頁在網可以被安置的微型對象。 他們是自由和可利用為了您能增加到所有網頁您擁有」，包括個人化的Google物產例如iGoogle和Google桌面。

然而，一種人的涼快的功能可以是別人的安全漏洞。

「建築學現在是高度不安全的」，一名高級分析員說湯姆Stracener，與應用程序安全公司Cenzic Inc. 聖塔克來拉，加利福尼亞。 「它不是確切對我Google小配件被採取了普遍時尚」，但是人使用他們，不用很多安全了悟或專門技術。 「當前環境是高風險的」，增加的Stracener。

Stracener和保安顧問羅伯特Hansen -為網上世界所知作為「Rsnake」 -展示了一些惡意盤剝為小配件，例如內部港掃描和Java語言文丐，在這個星期的黑帽子簡報安全會議。

「我喜愛是在什麼的靈菌邊緣其次在安全威脅世界來臨」， Stracener說。 并且一个事以後的下威力是「為罪惡優選的Gmalware」 -小配件而不是好。

有數以萬計小配件可利用，并且大多數傾向於是基本的，并且無害，例如日曆，對名單和相片顯示。 並且，有對訪問財政節目或做網上交易的有些嚴肅的申請。 這個區域未離開，但是Google根據Stracener提供資金為交易上的申請的發展對平臺的。

「Google小配件設計以一個開放式體系結構，以便任何人可能生產他們」，他說。 他叫Google視覺「革命家」，但說和在許多網上世界的其餘，功能在安全之前被促進。 「實際結果是，除非您看小配件的代碼，您不可能是肯定的什麼它做着」。

它可能做着提出了什麼的有些例子，當Stracener和Hansen開發的證明概念盤剝。 其中一Stracener的第一小配件盤剝是週期性地將讀用戶的剪貼板并且出口數據的日曆。 That one took advantage of an Internet Explorer 6 vulnerability that no longer is available.

Hansen developed a Gadget that would probe other Gadgets and steal information from them. Other Gadgets could be used to spider internal Web pages. There is one that could be used to perform cross-site request forgery, sending the user to a malicious page where malware could be uploaded or log-in credentials captured. A variation of this could log a user into an attacker’s account when logging onto a personalized iGoogle page.

“That’s a fairly significant privacy exposure,” Stracener said.

Google Gadget exploits have not been found in the wild, and Stracener and Hansen describe the attacks they demonstrated as largely theoretical because the exploits do not pose a great risk to sensitive information at this point. However, wider adoption of more powerful Gadgets could create more significant exposures.

Stracener said that although the current architecture is risky, Google is responding to reports of vulnerabilities. It could take a while to fix all of the problems, however. Although some fixes will be simple, others might require more fundamental changes in the architecture.

Have Your Say: Analyst: Beware of the Google Gadgets
Please read our posting guidelines before posting.
Alternatively you can discuss this report here.

RSS TrackBack URL

Name (required)

Mail (will not be published) (required)

Website

This entry was posted on Thursday, August 7th, 2008 at 10:00 pm and is filed under Web Development News . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ADVERTISEMENTS

SITE MAPS

7/7 Afghanistan Alternative-Energy Art BBC Big-Brother Bilderberg Biometrics Bush Censorship CIA Climate-Change Cover-Up Cults Culture Database-State David-Hicks David-Ray-Griffin Democrats Demos Drugs Education Entertainment Environmental News EU False-Flag FBI Fraud Free-Speech Freemasons G8 Globalization Guantanamo Health-News History ID-Cards Internet Iran Iraq Israel Law Marches MI5 MI6 Microsoft Military MoD Money Music NASA Neocons NSA Oil Pakistan Podcast Police-State Propaganda RFID RINF Rumsfeld Science Secrecy Security Slavery Space Sports Spying Stephen-Lendman Technology Terrorism Tony-Blair Torture TV UK-News UN USA- USA-News Video Voting war Warfare White-House Wolfowitz World-News Yahoo
2003 - 2005 Archives | 2005 - 2007 Archives | 2007 - 2008 Archives | Current Archives | Past Version