Alvorlige angreb mod web-giganter bruger ny teknik

I sidste uge blev søgegiganten Google udsat for et angreb på deres populære klientapplikation Google Desktop.

Hullet kunne via et JavaScript, give en ondsindet hjemmeside eller person mulighed for, at læse indhold på ofrets harddisk, herunder dokumenter, mediefiler eller e-mails.

Angriberne udnyttede et Cross Site Scripting-hul (XSS) i Google Desktop, som opstår fordi applikationen ikke forsvarligt kan behandle det output, som efter et angreb indeholder ondsindet kode.

Google fik hurtigt lukket hullet med en opdatering, men i går blev søgeapplikationen igen udsat for et overgreb, der kan give angribere adgang til alle de data, der er indekseret af programmet.

Denne gang er der tale om et anti-DNS pinning-angreb, der ligeledes gør det muligt for en angriber at ændre i den destination, som Google Desktop sender informationer via nettet.

I stedet for at sende informationerne til web-tjenesten, kan en ondsindet person ændre stien således at informationerne sendes til en maskine, der er udvalgt af angriberen.

Derved kan vedkommende tiltvinge sig adgang til alle de data, der er blevet bearbejdet af Google Desktop.

Google er langt fra de eneste
Problemerne opstår på grund af den tætte integration, som programmer bygger mellem klienter og internettet. En applikationstype, der vinder mere og mere frem på verdens computere.

"XSS-baserede angreb kan på grund af den tætte integration mellem desktop-applikationer og web-applikationer, få optimale muligheder for at afvikle kode igennem en sårbar applikation, som i dette tilfælde Google Desktop," siger sikkerhedsekspert Peter Kruse fra firmaet CSIS.

"Denne type angreb vil vi se mange flere af i takt med, at applikationerne bliver mere komplekse," siger han.

Google er således langt fra den eneste virksomhed, der står overfor dette problem.

Husk opdateringerne
Et andet eksempel på et lignende angreb ramte den sociale netværkstjeneste MySpace.com i december. Ved angrebet blev der blandt andet stjålet et hav af MySpace log-in-informationer.

"Det er uhyre svært at beskytte sig mod denne type angreb og for at højne sikkerheden kræves det, at der indbygges mere intelligens i programmerne," siger Peter Kruse.

"Brugerne skal være opmærksomme på, at hvis de vælger at bruge denne type applikationer står de overfor et sikkerhedsproblem, som er svært at beskytte sig i mod."

Anbefalingen lyder på, at man skal tænke sig godt om før man installere en web-baseret applikation og jo mere kompleks applikationen er, jo større er faren for at den bliver udnyttet.

Desuden skal man være opmærksom på nye opdateringer og installere dem så hurtigt som mulig.