Lek ontdekt in Google Desktop
Geplaatst: 21 dec 2004, 08:33
<img src="http://upload.userbase.be/upload/rev_google1_kl.jpg" align="left" width="120" height="100"> Google Desktop Search (GDS) bevat een veiligheidslek waardoor privé-gegevens via het internet gelezen kunnen worden. Google is op de hoogte van het probleem en biedt een bijgewerkte versie van de software aan. De zoeksoftware, die lokale bestanden indexeert en snel doorzoekbaar maakt, verstuurt zoektermen naar Google, zodat het bedrijf bijpassende advertenties kan plaatsen naast de zoekresultaten. Persoonlijke informatie wordt niet via internet geleid.
De fout werd ontdekt door een docent en twee studenten verbonden aan de Rice Universiteit in Houston. Zij vonden dat een kwaadwillende uitgaande verbindingen kan omleiden en de software doen geloven dat het rechtstreeks met Google communiceert. De persoonlijke zoektermen worden dan met de niet-geautoriseerde website uitgewisseld.
Voor een succesvolle exploitatie moet wel een speciaal geprepareerde website worden bezocht, waarbij het niet uitmaakt welke browser wordt gebruikt. Een Java-applicatie kan de computer vervolgens op afstand lezen, waarbij alle zoekresultaten naar de website overgeheveld worden. Door het lek zouden delen van persoonlijke bestanden kunnen worden ingezien.
Dan Wallach van de Rice Universiteit verklaart tegenover de New York Times dat het lek is gevonden tijdens een studieproject, waarbij werd gekeken of de software beveiligingsproblemen had. "We vroegen ons af hoe Google de lokale zoekresultaten integreerde. Toen we dat eenmaal hadden achterhaald, was het niet moeilijk om de software te kraken", aldus Wallach.
Google Desktop Search betekende het startschot voor een hele reeks van lokale zoekmachines, van Microsoft tot Yahoo!. Wallach en zijn studenten hebben aangekondigd dat ze ook de zoeker van Microsoft onder de loep gaan nemen.
Sinds 10 december biedt Google een aangepaste versie van de zoeksoftware aan. Wie Google Desktop Search gebruikt wordt geadviseerd naar deze laatste versie te upgraden. Google kan de software zonder interventie vanop afstand hebben bijgewerkt: controleer via de "about" functie op het Desktop-tabblad of deze hoger is dan versie 121,004. In dat geval is het lek gedicht.
Bron: ZDNet.be van 20 december 2004
De fout werd ontdekt door een docent en twee studenten verbonden aan de Rice Universiteit in Houston. Zij vonden dat een kwaadwillende uitgaande verbindingen kan omleiden en de software doen geloven dat het rechtstreeks met Google communiceert. De persoonlijke zoektermen worden dan met de niet-geautoriseerde website uitgewisseld.
Voor een succesvolle exploitatie moet wel een speciaal geprepareerde website worden bezocht, waarbij het niet uitmaakt welke browser wordt gebruikt. Een Java-applicatie kan de computer vervolgens op afstand lezen, waarbij alle zoekresultaten naar de website overgeheveld worden. Door het lek zouden delen van persoonlijke bestanden kunnen worden ingezien.
Dan Wallach van de Rice Universiteit verklaart tegenover de New York Times dat het lek is gevonden tijdens een studieproject, waarbij werd gekeken of de software beveiligingsproblemen had. "We vroegen ons af hoe Google de lokale zoekresultaten integreerde. Toen we dat eenmaal hadden achterhaald, was het niet moeilijk om de software te kraken", aldus Wallach.
Google Desktop Search betekende het startschot voor een hele reeks van lokale zoekmachines, van Microsoft tot Yahoo!. Wallach en zijn studenten hebben aangekondigd dat ze ook de zoeker van Microsoft onder de loep gaan nemen.
Sinds 10 december biedt Google een aangepaste versie van de zoeksoftware aan. Wie Google Desktop Search gebruikt wordt geadviseerd naar deze laatste versie te upgraden. Google kan de software zonder interventie vanop afstand hebben bijgewerkt: controleer via de "about" functie op het Desktop-tabblad of deze hoger is dan versie 121,004. In dat geval is het lek gedicht.
Bron: ZDNet.be van 20 december 2004
