Lek in Google Desktop toont gevaar web-desktopintegratie

Veiligheidspecialist Robert Hansen heeft een zero day-lek in Google Desktop ontdekt. Via een door Hansen ontwikkelde methode kan een man-in-the-middle-aanval worden opgezet, waarna via Google Desktop willekeurige programma's gestart kunnen worden.

Met behulp van kennis over het beveiligingsmodel van Google Desktop, waarbij onder meer eenmalige tokens, iframes en javascript worden gebruikt, heeft Hansen een methode ontwikkeld om zoekresultaten te manipuleren. In het kort komt deze erop neer dat de gebruiker naar Google gaat en een zoekactie uitvoert. De 'man in het midden' onderschept de query en geeft een eigen reactie terug aan de browser. Hierdoor wordt een stukje javascript uitgevoerd, waardoor een iframe wordt aangemaakt die de muiscursor volgt. De hacker creëert vervolgens opnieuw een zoekopdracht, zodat de content op de juiste wijze wordt gepositioneerd binnen het 'follow mouse'-script. Hierna volgt een metarefresh van de pagina, zodat Google Desktop geladen wordt. Nu is het aan de gebruiker om op een link te klikken, zodat een willekeurig Windows-programma geladen wordt.

Google Desktop logo (kleiner)Volgens Hansen is de beschreven aanval vrij moeilijk om uit te voeren; desalniettemin is de kans wel aanwezig dat dit gebeurt. Hansen, die zichzelf ook wel RSnake noemt, waarschuwt daarom dat een verregaande integratie van het web met de desktop geen goede zaak is. In het geval van Google wordt er geen gebruik gemaakt van een beveiligde verbinding en worden er op Googles site linkjes geplaatst waarmee programma's op de desktop-pc gestart kunnen worden; dit maakt het voor een aanvaller makkelijk om kwaardaardige content te injecteren. Eerder deze week was Google ook al negatief in het nieuws gekomen, omdat het bedrijf twee addons voor Firefox aanbiedt die via een onbeveiligde verbinding worden bijgewerkt. Ook dat biedt namelijk de mogelijkheid voor een man-in-the-middle-aanval.

Video (googleplayer.swf?docId=2726113702646327649&hl=en)
De aanval in beelden

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 02-06-2007 19:33
28 • submitter: Anoniem: 97275

02-06-2007 • 19:33

28

Submitter: Anoniem: 97275

Bron: ha.ckers

Lees meer

Google Desktop

geen prijs bekend

'Aantal aanvallen via widgets en gadgets zal stijgen'
'Aantal aanvallen via widgets en gadgets zal stijgen' Nieuws van 18 september 2007
Meer applicaties gevoelig voor uri-lek
Meer applicaties gevoelig voor uri-lek Nieuws van 18 juli 2007
Enthousiast Firefox-gebruik in Europa, behalve in Nederland
Enthousiast Firefox-gebruik in Europa, behalve in Nederland Nieuws van 16 juli 2007
Microsoft: bèta Vista Service Pack 1 uiterlijk op 12 november
Microsoft: bèta Vista Service Pack 1 uiterlijk op 12 november Nieuws van 26 juni 2007
'Toolbars voor Firefox vormen toenemende dreiging'
'Toolbars voor Firefox vormen toenemende dreiging' Nieuws van 31 mei 2007
Sun neemt producent Java-OS voor mobiele telefoons over
Sun neemt producent Java-OS voor mobiele telefoons over Nieuws van 14 april 2007
Microsoft: 'Zakelijke zoekdienst beter dan Google'
Microsoft: 'Zakelijke zoekdienst beter dan Google' Nieuws van 13 april 2007
Asus biedt twee pci express-x16-slots met 650i-chipset
Asus biedt twee pci express-x16-slots met 650i-chipset Nieuws van 3 april 2007
Nieuwe Bluetooth-specs voor eenvoudiger pairen
Nieuwe Bluetooth-specs voor eenvoudiger pairen Nieuws van 28 maart 2007
'Geïntegreerde geheugencontroller Intel alleen voor servers'
'Geïntegreerde geheugencontroller Intel alleen voor servers' Nieuws van 16 maart 2007
Rabobank waarschuwt voor golf van phishingmails
Rabobank waarschuwt voor golf van phishingmails Nieuws van 9 februari 2007
'Vista houdt zich aan antitrustwet VS'
'Vista houdt zich aan antitrustwet VS' Nieuws van 22 november 2006
Windows Embedded-broncode beschikbaar voor partners
Windows Embedded-broncode beschikbaar voor partners Nieuws van 3 november 2006
'Gamesindustrie verspilt jong talent'
'Gamesindustrie verspilt jong talent' Nieuws van 23 juli 2006
Meer producten en artikelen
Software System en netwerk utilities Google Hackers Web services

Reacties (28)

-Moderatie-faq
28
28
4
0
0
16
Wijzig sortering
bbob
2 juni 2007 21:12
Tja google is zo aan het afgeven op microsoft maar nu google ook dit soort software gaat aanbieden blijkt maar weer eens hoe moeilijk het is om het veilig te maken.

Maar goed die toolsbar zit ondertussen al bij heel veel software, ik wil hem niet, alleen maar zooi met riscio's zoals nu blijkt.
ebx @bbob2 juni 2007 21:27
Waar en waneer heb jij Google weten 'afgeven" op microsoft ?

Bovendien gaat het hier niet over de toolbar, maar over google desktop.

Verder gaat het om een héél omslachtige manier om een de resultatenpagina te vervormen waardoor je de gebruiker zover kan krijgen om een programma te openen dat reeds op de PC aanwezig moet zijn ... hoge bomen vangen veel wind ?
Darkprince1234 @bbob2 juni 2007 22:38
Daar zit inderdaad wel wat in ja, sowieso hebben we het in het geval van Google over een kleine desktop app, en MS heeft een gigantisch groot OS.

Het laat ze wel even zien dat het moeilijker is dan gedacht. :Y)
i-chat @Darkprince12342 juni 2007 22:50
kortom op te lossen door ssl verbindingen te gaan gebruiken???
Tijger @i-chat3 juni 2007 14:26
Ja, maar dat kost veel geld, SSL verbindingen belasten een server veel zwaarder als standaard HTTP verbindingen.
chezrene 2 juni 2007 19:37
Beetje slordig van Google... vreemd dat ze zelf niet aan een beveiligde verbinding hadden gedacht, ook niet na het lek eerder deze week.

Maar ja: hoe ambitieuser Google wordt, hoe meer fouten er hier en daar insluipen.
Jack Flushell @chezrene2 juni 2007 19:55
Maar ja: hoe ambitieuser Google wordt, hoe meer fouten er hier en daar insluipen.
Klinkt logisch als je het zo even hoort, beetje een standaard opmerking. Maar als ik er even nadenk snap ik er geen hout van... Hoe werkt dat dan? Leg eens uit?
dev10 @Jack Flushell2 juni 2007 20:02
Doordat Google nogal veel hooi op zijn vork neemt, wordt het minder voorzichtig met bepaalde dingen.
chezrene @Jack Flushell2 juni 2007 20:06
Hoe meer uiteenlopende dingen ze willen doen, hoe gecompliceerder alles wordt. Google was eerst in één ding gespecialiseerd: zoeken naar webpagina's en afbeeldingen. Maar toen het bedrijf ging groeien, kwamen er steeds meer technieken bij. Dus door gebrek aan specialisme sluipen er steeds meer fouten in... je kunt namelijk ook te veel willen in te korte tijd.
108886 @Jack Flushell2 juni 2007 20:03
is toch logisch, des te meer hooi je op je vork neemt, des te meer code je moet schrijven, des te meer potentiële fouten in die code... des te meer mensen je producten gaan gebruiken, en des te meer fouten er aan het licht komen
Parasietje @chezrene2 juni 2007 23:06
Geen beveiligde verbinding gebruiken heeft niets te maken met slordigheid. Een SSL webserver vraagt gewoon veel meer processor-kracht en organisatie dan een gewone HTTP verbinding.

Ofwel moet je een systeem hebben die ervoor zorgt dat een gebruiker na het RSA-afspreken van een symmetric key, bij dezelfde server blijft. Ofwel maak je een centrale SSL-brug waarna de requests naar de webservers worden doorgestuurd.

Anyway, het is vrij moeilijk voor 500+ servers verspreid over de hele wereld.
Tijger @Parasietje3 juni 2007 14:25
Je hebt gelijk maar de vraag is eigenlijk anders, moet je wel dit soort 'diensten' bieden als je het niet kan beveligen?
Squee 2 juni 2007 19:43
Misschien moet Google behalve hun motto 'don't be evil' ook maar het motto 'don't be insecure' adopteren :*)
Neko Koneko @Squee3 juni 2007 09:04
hun motto 'don't be evil'
En jij gelooft ze? :Z
sontax 2 juni 2007 20:18
Ik zie de moeite al niet om google als startpagina in te voeren en internet te openen of een google toolbar te instaleren
jip_86 2 juni 2007 20:26
*knip verkeerde nieuwsbericht*
g4wx3 2 juni 2007 20:34
Al sinds dat die google desktop search uit is, heb ik het nooit gebruikt, als reden voor de security.
In een tijdschrift werd ooit beweerd dat ze GDS niet vertrouwde omdat de resultaten e voorschijnkwamen in IE
SanderNB 2 juni 2007 23:06
Volgens Hansen is de beschreven aanval vrij moeilijk om uit te voeren
Vrij moeilijk.. ik snap vrij weinig van dat filmpje. Zou iemand misschien kunnen uitleggen wat er nou (ongeveer) gebeurd? :?
Dlocks 3 juni 2007 00:44
In het kort komt deze erop neer dat de gebruiker naar Google gaat en een zoekactie uitvoert. De 'man in het midden' onderschept de query en geeft een eigen reactie terug aan de browser.
En hoe kan de man in het midden de zoekresultaten pagina van Google onderscheppen? Moet je dan sowieso niet al een virus o.i.d op je computer hebben staan die dat mogelijk maakt?
Anoniem: 177370 @Dlocks3 juni 2007 09:34
Je zou bijvoorbeeld de router onder controle kunnen hebben. Vooral binnen bedrijven zijn dit soort aanvallen vervelend. Het is dan natuurlijk zaak heel goede vriendjes te blijven met je netwerkbeheerder...
RemcoDelft 3 juni 2007 10:23
Een "Man in the middle" kan toch sowieso elke onbeveiligde webpagina, incl. Google's eigen websearch, of *deze* pagina op tweakers.net aanpassen? Wat is er dan zo bijzonder aan deze exploit?
BartOtten @RemcoDelft4 juni 2007 14:11
Dat je een programma kan opstarten?
Anoniem: 106918 3 juni 2007 13:36
niets, naar mijn idee? Ik begrijp niet helemaal wat er in het filmpje gebeurd, het is een beetje omslachtig en ziet erg rommelig uit, komt ook omdat t scherm zo klein is dat de vensters er niet inpassen die de maker gebruikt..

Maargoed, ik denk dat dit allemaal wel meevalt; ik gebruik de software niet, en ben nog niet veel pc's tegen gekomen waar het wel op staat..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq