Usando Google Desktop Search, un cracker potrebbe fare la scansione del disco alla ricerca di password e codici personali
Un ricercatore israeliano ha dimostrato come esista la possibilità,
da parte di un malintenzionato, di "rubare" informazioni dal disco
fisso del PC tramite Google Desktop Search sfruttando una vulnerabilità
non risolta di Internet Explorer.
Nella descrizione del problema, Matan Gillon spiega che il problema risiede
nelle modalità con cui il browser gestisce i CSS (Cascading Style Sheets)
ossia i file testuali che permettono, ad un web designer, di impostare degli
stili comuni per la visualizzazione delle varie pagine del suo sito.
Gillon afferma che un aggressore remoto potrebbe impossessarsi di
informazioni personali relative all’utente sfruttando proprio questa
lacuna di sicurezza.
A mero titolo esemplificativo, l’israeliano ha pubblicato il codice
proof-of-concept che, non appena aperto in Internet Explorer, provvede
ad effettuare una ricerca del termine "password" all’interno del personal
computer dell’utente servendosi, in questo caso, di Google Desktop.
Microsoft sta in questo momento studiando il problema. Tom Ferris, già
conosciuto per aver scoperto vulnerabilità in molti software, ha fatto
notare come il problema ricordi da vicino altre vulnerabilità di Internet
Explorer ma anche come lo scopritore sia stato assai creativo pensando al fatto
che, tra tutti, Google Desktop potrebbe essere sfruttato per carpire informazioni
personali.
eEye ha precisato che è Internet Explorer a permettere
il recupero dei dati da parte di malintenzionati: Google Desktop Search è
"scagionato".
