扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
所谓的Web 2.0运动的其中一个最大的问题在于它一直鼓励过度的共享性——而这往往意味着低估了安全风险。将一些质量参差不齐的小装饰品放到主页上,确实可以增加许多魅力,但也带来了危险性:因为他们为黑客的攻击打开一个大门。
这对网络公司来说是一个威胁,即使是包括谷歌公司在内的规模最大的网络公司。谷歌的“小工具”也就是一些类似日历或每日的照片馈送的小程序,用户可以将这些工具植入到他们个性化的谷歌主页上——而这也正日益成为黑客攻击的目标,两个安全研究人员周三的时候说道。
这并不是说谷歌设计的是不安全的程序。
问题是,有些用户会自己创建一些定制的应用程序,并通过谷歌将这些程序传送出去。这些用户中可能有些人会有邪恶的意图,一旦这些程序安装在用户的页面上,他们可能会利用这些程序。而许多用户对从谷歌上面下载的东西都很依赖。
周三在拉斯维加斯的“黑帽”黑客大会上,安全咨询机构的首席执行官SecTheory罗伯特汉森(Robert Hansen)和安全性测试的软件制造商Cenzic的资深安全分析师汤姆。斯戴斯尼(Tom Stracener)进行了一场演示。他们利用一些恶意的小工具,成功入侵用户的网页浏览器,对他们的搜索内容进行了实时监控。
汉森和斯特雷斯纳说, 只要有用户下载了其中一个恶意小工具,那么这些工具就可以用来进行其他各种攻击,例如一个小工具可以攻击另一个存储用户个人信息的工具,以窃取信息。
“你怎么知道这是一个合法的工具?”汉森问。“就因为有人上传?上传没有节制,根本没有办法保证它们是好的。”不仅仅是谷歌,一些社交网站和其它类似网站也面临此类问题。因为这些网站都鼓励用户用一些小工具装饰他们的网页,通过发送照片或一些其它内容以接触外面的世界。网页上申请运行的代码既可以是出于好意,也可能是出于恶意。
针对汉森对小工具的看法,谷歌进行了反驳。
该公司在一份声明中表示,公司会定期扫描所有的小工具,发现恶意代码的机率是“非常罕见的”。一旦发现,立即被列入黑名单。
谷歌补充道,自去年11月至今,已经没有再创建可以访问用户帐户信息的小工具了。而且对于现有的可以访问用户帐户信息的小工具,用户也不能再对它们进行进一步的修改了。
该公司表示,小工具是由世界各地的开发商一起建立的。对于用户在一个地方就可以查看从各网站收集的资料而言,它提供了一个便捷的途径。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。