Nová hrozba pro Google Desktop

Ve čtvrtek demonstroval hacker Robert Hansen (videozáznam naleznete zde), jak může útočník využít Google Desktop ke spuštění programu, který byl před tím nainstalován do počítače oběti. K využití nové hrozby by musel útočník umístit mezi Google Desktop a jeho serverem svůj vlastní program, který by předstíral činnosti serveru. Ve skutečnosti by se ovšem uživatel přihlásil na falešný web, kterému by mohl sdělovat soukromé údaje, či ještě spíše z něj dostat „dárek“ v podobě nežádoucího software. Přes falešný server by šly požadované webové stránky, ovšem pozměněné, například s přidaným JavaScriptovým kódem.

Pravdou ovšem je, že samotné provedení je dost náročné a není jisté, zda by tento útok šel ve skutečnosti využít pro to dostat do počítače nějaký škodlivý program bez vědomí uživatele. Hansen musel k provedení útoku zkombinovat více jednotlivých kroků využívajících různé slabiny Google Desktop.

V tomto konkrétním případě Hansen spustil Windows HyperTerminal, ale spustit je možné prakticky jakýkoli na počítači již přítomný program. Nicméně i toto ukazuje, jaké nové hrozby se objevují v souvislosti s rozšiřováním programů propojujících webové a desktopové aplikace. Takový program snadno obchází zabezpečení, která jsou jinak vlastní internetovému prohlížeči. A zbavuje uživatele ochrany pramenící z oddělení běhu aplikací z internetu právě jen v internetovém prohlížeči. Lze předpokládat, že Google rychle učiní kroky ke zmenšení nebezpečí této hrozby.