Версия для печати
22.12.2004
Google

Google получил пробоину



Тимофей Дзядко

Интернет-компания Google, будто бы опередившая конкурентов в предоставлении системы поиска в персональном компьютере (Google Desktop Search), явно поспешила. Профессор калифорнийского университета Райса Ден Волеч и два его студента нашли в Desktop Search дырку.

Через дыру в Google Desktop Search злоумышленник может проникнуть в компьютер и отыскать там нужные файлы, причем так, что их владелец ничего не узнает. Профессор Ден Волеч и его ученики Сет Фогарти и Сет Нильсон называют эту дыру Lсерьезной¦: по их словам, ее очень сложно было обнаружить.

Тестовая версия Desktop Search, которую Google представила 14 октября 2004 года, позволяет одновременно проводить поиск в интернете и на жестком диске компьютера (электронная почта, текстовые документы и другие файлы). Уязвимость в этой системе как раз кроется в объединении локальных и общемировых (в интернете) результатов.

Система сначала выдает интернет-результаты, а потом добавляет к ним результаты поиска в компьютере. Исследователи из университета Райса заметили, что именно в этот момент хакер может вмешаться, вынудив Google Desktop Search направлять результаты локального поиска на определенный сайт, где он их прочитает.

По словам профессора Волеча и его учеников, они с легкостью могут написать программу, которая одурачит Google Desktop Search: система будет принимать каждое соединение с интернетом за запрос на Google.com и предоставлять злоумышленнику информацию о локальном поиске.

"Все началось с учебного проекта по анализу Google Desktop на предмет уязвимостей, v говорит профессор Волеч. v Нам было интересно понять, как Google добавляет результаты локального поиска. Когда мы поняли алгоритм, нам не составило труда взломать систему". Представители Google утверждают, что им сообщили об этой дырке в конце ноября, и они уже успели ее заделать.

Вслед за Google ее основные конкуренты поспешили сообщить о внедрении систем поиска на жестком диске v Microsoft запустила тестовую версию в прошлый понедельник на основе поисковика MSN, а Yahoo планирует начать тестирование своей системы в начале января.

Исследователи университета Райса еще не начали анализ программы поиска Microsoft, но уже уверены, что процесс объединения результатов поиска проходит по-другому, поэтому вряд ли такая уязвимость обнаружится.

Газета.RU