美国黑客将目标锁定Google小工具

    所谓的Web 2.0运动的其中一个最大的问题在于它一直鼓励过度的共享性——而这往往意味着低估了安全风险。将一些质量参差不齐的小装饰品放到主页上，确实可以增加许多魅力，但也带来了危险性：因为他们为黑客的攻击打开一个大门。

　　这对网络公司来说是一个威胁，即使是包括谷歌公司在内的规模最大的网络公司。谷歌的“小工具”也就是一些类似日历或每日的照片馈送的小程序，用户可以将这些工具植入到他们个性化的谷歌主页上——而这也正日益成为黑客攻击的目标，两个安全研究人员周三的时候说道。

　　这并不是说谷歌设计的是不安全的程序。

　　问题是，有些用户会自己创建一些定制的应用程序，并通过谷歌将这些程序传送出去。这些用户中可能有些人会有邪恶的意图，一旦这些程序安装在用户的页面上，他们可能会利用这些程序。而许多用户对从谷歌上面下载的东西都很依赖。

　　周三在拉斯维加斯的“黑帽”黑客大会上，安全咨询机构的首席执行官SecTheory罗伯特汉森（Robert Hansen）和安全性测试的软件制造商Cenzic的资深安全分析师汤姆。斯戴斯尼（Tom Stracener）进行了一场演示。他们利用一些恶意的小工具，成功入侵用户的网页浏览器，对他们的搜索内容进行了实时监控。

　　汉森和斯特雷斯纳说， 只要有用户下载了其中一个恶意小工具，那么这些工具就可以用来进行其他各种攻击，例如一个小工具可以攻击另一个存储用户个人信息的工具，以窃取信息。

　　“你怎么知道这是一个合法的工具？”汉森问。“就因为有人上传？上传没有节制，根本没有办法保证它们是好的。”不仅仅是谷歌，一些社交网站和其它类似网站也面临此类问题。因为这些网站都鼓励用户用一些小工具装饰他们的网页，通过发送照片或一些其它内容以接触外面的世界。网页上申请运行的代码既可以是出于好意，也可能是出于恶意。

　　针对汉森对小工具的看法，谷歌进行了反驳。

　　该公司在一份声明中表示，公司会定期扫描所有的小工具，发现恶意代码的机率是“非常罕见的”。一旦发现，立即被列入黑名单。

　　谷歌补充道，自去年11月至今，已经没有再创建可以访问用户帐户信息的小工具了。而且对于现有的可以访问用户帐户信息的小工具，用户也不能再对它们进行进一步的修改了。

　　该公司表示，小工具是由世界各地的开发商一起建立的。对于用户在一个地方就可以查看从各网站收集的资料而言，它提供了一个便捷的途径。