Google rychle vyřešil chybu ve službě Buz


Google opravil chybu ve své nové službě Buzz (Hlášky), která za určitých okolností útočníkům umožňovala ovládnout cizí uživatelský účet. Chyba byla na webu určeném pro přístup z mobilních zařízení (m.google.com) a šlo ji zneužít pomocí útoku cross-site scripting (o chybě viz článek na Computerworld.cz). Ovládnutí účtu by útočníkům umožňovalo cílený a účinný phishing a také by jim otevíralo cestu do dalších účtů postiženého uživatele. Není ale známo, že by chybu někdo reálně zneužil, protože Google vydal opravu velmi rychle po oznámení problému.

Služba Buzz si krátce po svém uvedení vysloužila kritiku ochránců soukromí, protože ve výchozím nastavení zveřejňovala nejčastější e-mailové kontakty daného uživatele GMailu. Funkci šlo vypnout, defaultně ale bylo toto zveřejnění zapnuté. Jistě si lze představit řadu situací, kdy už samotný fakt, že si člověk s někým často píše nebo chatuje, může být nepříjemný až kompromitující, vést k vydírání apod. K těmto scénářům pravděpodobně reálně nedošlo, ovšem nejspíš jen protože, krátce po uvedení službu používalo jen minimum lidí.

 











Komentáře