11 сент. 2011 г.

Эксперты нашли способ взлома поисковой истории пользователей Google




Взято с Digit-ru

Независимые специалисты по информационной безопасности создали расширение для браузера Firefox, которое позволяет взломщику осуществлять доступ к истории поисковых запросов любого пользователя Google, если для выхода в интернет он использует открытые Wi-Fi-сети, сообщает антивирусная компания Sophos.

Хакеру достаточно установить специальное расширение для браузера Firefox и подключиться к открытой точке доступа Wi-Fi. Если кто-то из других пользователей этой точки использует функцию персонализированного поиска Google, хакер сможет выяснить, что пользователь искал в прошлом, что ищет сейчас, а также скопировать все контакты "атакуемого", заявляют специалисты Sophos.

Такая атака стала возможной из-за уязвимости в процессе обработки персональной информации поисковым сервисом Google. Функция персонализированного поиска Google помогает поисковой машине выдавать по запросу пользователя более точные результаты, поскольку она анализирует его предыдущие запросы. Однако, чтобы воспользоваться этой функцией, пользователь должен войти в свой аккаунт Google. В отличие от других сервисов Google, использование функции персонализированного поиска не требует создания зашифрованного соединения https, и хакеры могут без труда перехватить информацию, связанную с конкретным Google-аккаунтом, хотя доступ к самому аккаунту получить не могут.

По мнению специалистов Sophos, несмотря на обнаруженную особенность, данная уязвимость опасна, поскольку в поисковых запросах пользователи часто сообщают конфиденциальные данные, которые могут быть использованы злоумышленниками.

Уязвимость обнаружили независимые специалисты по информационной безопасности Винсент Тубиана (Vincent Toubiana) и Винсент Вердо (Vincent Verdot). Создавая вредоносное расширение для Firefox, они использовали другой знаменитый хакерский плагин - Firesheep. Он появился в октябре прошлого года и позволял перехватывать в открытых Wi-Fi-сетях логины и пароли пользователей сайтов и сервисов, которые не используют зашифрованное соединение https.


Взято с Digit-ru

Комментариев нет: