Volgende week zullen beveiligingsonderzoekers specifiek voor Google applicaties ontwikkelde malware onthullen, waarmee vertrouwelijke informatie is te stelen, maar de zoekgigant ziet het niet als een probleem. Door een beveiligingslek in de software is het mogelijk voor kwaadaardige gadgets om in te loggen op het account van slachtoffers zonder dat ze dit weten. Een aanvaller kan dan Google zoekopdrachten monitoren of andere Google Gadgets aanvallen om informatie te stelen.
"Het idee is dat gadgets door het gmodule domein en security architectuur worden ondersteund. De huidige security architectuur beschermt individuen niet goed tegen kwaadaardige gadgets, of de gadgets tegen elkaar," zegt Tom Stracener die samen met Robert Hansen tijdens de Blackhat Conferentie hun demonstratie zullen geven.
Op dit moment is er nog geen "Gmalware" in het wild gesignaleerd, maar zodra de details van het lek bekend zijn kan dit veranderen. Google is door de onderzoekers ingelicht, toch heeft het nog niet laten weten of de ontdekking een probleem is. "We hebben ze gewaarschuwd en ze lieten weten dat dit het normale gedrag van dit domein is. Zowel Tom als ik vonden dit een zeer controversiële houding. Ze willen het niet verhelpen, daarom laten we nu zien wat we hebben gevonden," zegt Hansen, beter bekend als RSnake.
De architectuur van Google laat een aanvaller alles aan een Google Gadget toevoegen, zoals kwaadaardige Flash, HTML of script. De zoekgigant heeft verschillende maatregelen genomen, maar het is nog steeds mogelijk om een Google Gadget aan iemands zijn iGoogle pagina toe te voegen. Een andere truc die Google uithaalt is het gmodules domein in een sandbox te laten draaien, maar dat beschermt slechts tegen twee of drie specifieke aanvallen, maar maakt talloze andere aanvallen mogelijk. "We laten zien wat er allemaal mis is met dit model."
Deze posting is gelocked. Reageren is niet meer mogelijk.