这一缺陷使黑客能够偷偷地通过互联网对个人电脑上存储的内容进行搜索,它属于所谓的“合成缺陷”━━当各个独立的组件相互作用时出现的缺陷。赖斯大学的助教丹。瓦拉赫表示,当组件相互作用时,就会出现安全缺陷。瓦拉赫和二名研究生于上个月发现了该缺陷。他说,这是一个隐蔽性很强的缺陷,需要大量的试验才能够发现这类缺陷。
Google在10月14日发布了一款测试版的桌面搜索工具,用户可以免费下载。它可以对用户计算机硬盘上的内容进行索引,然后将Web 搜索结果与电子邮件、文本文档和其它文件结合起来。
根据Google桌面搜索工具的设计,用户查询的内容,而不是本地计算机上存储的信息将通过互联网发送出去。但通过读取发送给其搜索服务的用户查询内容,Google能够在搜索结果浏览器窗口中显示AdWords 文本广告。在上周末发表的一份声明中,Google表示,计算机研究人员在11月份末已经向它通报了这一问题,已经开始发布修正了缺陷的新版桌面搜索工具。
Google推出桌面搜索软件也使得微软、雅虎加入了桌面搜索大战,微软在上周一推出了它自己的桌面搜索工具,雅虎则表示将在明年开始测试桌面搜索工具。
赖斯大学的研究人员称,他们还没有检查微软的桌面搜索工具,但他们指出,微软的桌面搜索工具不会象Google那样整合桌面搜索和Web 搜索的结果。研究人员称,Google桌面搜索工具的安全缺陷存在于它截获向外发送信息的方式,它会寻求访问Google.com的数据流量,然后插入来自硬盘搜索的结果。他们发现,黑客可以欺骗Google桌面搜索工具使之在其它网页中插入来自硬盘的搜索结果,并读取这些结果是可能的。黑客要发动攻击,首先要求用户访问攻击者的网站,使用任何浏览器的用户都会受到攻击。Google表示,还没有证据表明已经发生过这样的攻击。
赖斯大学的研究人员已经开发了能够欺骗Google桌面搜索工具,发动这类攻击的Java软件,该软件能够任意处理搜索结果,包括将它们返回到黑客的网站。瓦拉赫说,最初,我们将它作为一个学生研究项目,研究Google桌面搜索工具的工作原理,并审查其中是否包含有安全缺陷。开始时我们对Google是如何对搜索结果进行整合的感到奇怪,一旦我们发现其工作原理后,要攻击它就不费劲了。
Google桌面搜索工具中包含一项升级功能,使Google能够在用户不知情的情况下自动地在计算机上安装新版本的桌面搜索工具。赖斯大学的研究人员称,通过检查Google桌面搜索工具的“about ”(有关)网页,用户可以知道安装的软件是否已经得到了更新。版本号高于121004,表明Google桌面搜索工具已经得到更新。
Google桌面搜索恐受黑客欺骗 泄露用户资料