Google Desktopに、マシンの乗っ取りやデータ盗難を許す複数の脆弱性が存在すると、セキュリティ企業が警告した。
Watchfireによる米国時間2月21日付けの報告(PDFファイルとデモ)を受け、Googleはこれらを修正するパッチをリリースした。不具合にはクロスサイトスクリプティングの脆弱性が含まれており、これが悪用されると外部からファイルを参照することが可能なる。
Google Desktopでは、Googleの検索エンジン技術を利用して、ローカルマシンやネットワーク上のマシンに保存されているデータを検索する。マシン上の電子メール、ドキュメント、ファイルを読み取ってインデックスを作成するほか、ウェブページを保存する。
Watchfireのセキュリティリサーチ担当ディレクターDanny Allan氏によると、攻撃者はクロスサイトスクリプティングの脆弱性を悪用すれば、Google Desktopの機能を本来の機能とは違う目的に利用できるという。同氏はGoogle Desktopについて、Googleのインターネット検索であるGoogle Searchと連携していることが弱点であると付け加えた。そのためWatchfireが発見した脆弱性は、情報保護システムにも、アンチウイルスソフトウェアにも、ファイアウォールにも検出されずに悪用可能だったという。
この攻撃は、バイナリコードを挿入するのではなくJavaScriptコードによってマシンのコントロールを奪う点が、従来の攻撃と異なる。Watchfireの報告によると、攻撃者はリモートからGoogle Desktopを利用して機密性の高い情報を検索できるという。
これはつまり、パスワードや銀行との取引情報が、コンピュータ上のファイルやウェブページのヒストリに保存されていた場合、攻撃者がリモートから読み取れることを意味すると、Allan氏は指摘する。
同氏によるとWatchfireは1月4日、Google Desktopに関する3件の脆弱性と1件のアーキテクチャ上の欠陥をGoogleに通知したという。またGoogleからは2月1日に返答があり、情報の公開を数週間待つよう依頼されたという。Googleは問題を修正するパッチをリリースしている。
Googleは、最新バージョンのGoogle Desktopを利用するよう呼びかけている。
WatchfireとGoogleはいずれも、実際に脆弱性を悪用した攻撃を確認していないとしている。
もっとも、Allan氏はクロスサイトスクリプティング攻撃に対する脆弱性が解消されたわけではないと指摘する。これは、Googleのウェブサーバとローカルマシン上のGoogle Desktopをリンクするという「アーキテクチャの設計上の問題」に起因するという。
Google DesktopをダウンロードするとGoogle.comとローカルマシンのリンクが有効になり、Googleホームページ検索バーに「Images」や「News」といった項目と並んで「Desktop」という項目が表示される。これにより、利用しているブラウザの種類に関係なく、Googleのホームページからインターネット検索とローカルマシン検索を切り替えて利用できる。
「Google Desktopにまた脆弱性が見つかったら、壊滅的な攻撃が起きる可能性がある」(Allan氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス