Google Desktop tappa la falla

Sistemato un problema di sicurezza del motore di ricerca da scrivania che avrebbe potuto essere sfruttato da malintenzionati per rubare informazioni personali

San Francisco (USA) - "Il contenuto del computer non è accessibile né a Google né a chiunque altro" recitano le FAQ di Google Desktop Search. Così in teoria dovrebbe essere, ma in pratica?

Tre informatici dell'università statunitense di Rice hanno scoperto che il tool desktop di Google soffre di una potenziale vulnerabilità di sicurezza che, in taluni casi, potrebbe rivelare ad un sito web malevolo parte delle informazioni che si trovano sul PC dell'utente.

Uno degli scopritori della falla, Dan Wallach, ha affermato che il problema riguarda il modo in cui Google Desktop interagisce con il motore di ricerca sul Web, inviando a quest'ultimo piccole porzioni dei risultati generati da una ricerca locale: Google utilizzerebbe queste informazioni come criterio per la selezione dei banner pubblicitari AdWords da mostrare nelle successive pagine di ricerca. Il problema, secondo Wallach, sta nel fatto che un aggressore possa intercettare l'invio di questi dati - che possono contenere, ad esempio, piccole porzioni di un documento o di una e-mail - e fare in modo che Google Desktop li inserisca all'interno di una pagina web sotto il suo controllo. Perché un simile attacco possa essere messo in pratica, l'aggressore deve prima indurre l'utente a visitare un sito malevolo.
I tre universitari americani hanno detto di aver messo a punto un'applet Java che, una volta installata sul computer della vittima, controlla tutte le connessioni che avvengono sulla porta TCP 80 e ritrasmette su di un sistema remoto tutte quelle stabilite con Google: in questo modo chi controlla il programma spia può intercettare le informazioni inviate da Google Desktop al portale di ricerca su web.

Wallach ha detto che la falla è stata segnalata a Google lo scorso mese e che, a partire dal 10 dicembre, la società dalla grande G ha iniziato a distribuire un aggiornamento automatico che corregge il problema.

Nel recente passato alcuni esperti di sicurezza hanno già messo in discussione diversi aspetti funzionali di Google Desktop, ma c'è chi afferma che questo stesso trattamento verrà presto riservato anche ai suoi più giovani rivali, come quelli presentati di recente da Microsoft e Yahoo! Proprio negli scorsi giorni uno studio firmato dalla società di analisi australiana Frost & Sullivan ha predetto che i programmi di ricerca per PC sono destinati a diventare il prossimo bersaglio di virus, spyware e cracker. Uomo avvisato...
TAG: privacy
7 Commenti alla Notizia Google Desktop tappa la falla
Ordina
  • Non ho video da presentare
    Mi interessa la temperatura di Torino con il suo meteo
    non+autenticato
  • non so se qi più è sfuggito: quel "beta" sotto il logo non sta a rappresentare né una marca di utensili professionali, ne una nota marca di moto da trial;

    vuol dire: "hei ragazzi, il software da un primo test sembra fare quanto promesso, ma attenzione che la fase di test non è ancora terminata e potrebbero venir fuori difetti di portata non indifferente; ad ogni modo se la cosa ti va, e magari te la senti di darci una mano a testarlo, puoi anche installartelo 'sto programma, attento però all'uso che ne fai, perchè come ti abbiamo già detto non è definitivo e potrebbe crearti qualche problema"

    detto questo, non capisco tutto sto rumore: addirittura un trafiletto nella homepage di un arcinoto quotidiano nazionale....

    un software beta ha dei problemi di sicurezza... e allora? dov'è la novità? praticamente tutti i software distribuiti in beta hanno problemi più o meno grossi

    il problema nasce quando qualcuno commercializza software definito stabile ed affidabile ma che alla prova dei fatti mostra gravissimi difetti

    per il resto, a tutti quelli che magari si "scandalizzano" di un baco del genere (magari perchè foraggiati da qualche concorrente di google?) consiglio di levarsi il brutto vizio di cliccare su tutto ciò che assomiglia ad una icona, ed ogni tanto di provare a collegare il cervello....
    non+autenticato
  • "Tre informatici dell'università statunitense di Rice"

    questi sono veri informatici, non come i nostrani scaldabanchi unicannaioli
    non+autenticato
  • > questi sono veri informatici, non come i
    > nostrani scaldabanchi unicannaioli

    http://www.salvatore-aranzulla.com/pagina.php?pagi...

    Dagli il tempo di crescereSorride
    non+autenticato
  • Tieniti per te le tue frustrazioni dovute alla tua inadeguatezza

    http://punto-informatico.it/p.asp?i=50905
    non+autenticato
  • Ma questo:
    Dan Wallach, ha affermato che il problema riguarda il modo in cui Google Desktop interagisce con il motore di ricerca sul Web, inviando a quest'ultimo piccole porzioni dei risultati generati da una ricerca locale
    [dall'articolo]

    non e' in contrasto con questo:
    Your computer's content is not made accessible to Google or anyone else without your explicit permission
    [da Privacy and Google Desktop Search]
    3518
  • No: il punto cruciale è infatti quel "without your explicit permission". Naturalmente chi installa del software senza leggere i "Terms and conditions" e/o le "privacy policy" rischia di non sapere cosa sta veramente installando, ma a quel punto è l'utente ad essere in difetto.
    È chiaramente spiegato in quei documenti che Google Desktop di default è abilitato a inviare i dati di cui si sta parlando; ma anche che esiste un'opzione di "opt-out" (peraltro chiaramente visibile in fase di setup!) per impedirlo.
    Si suppone - e si spera - che chi ha disattivato il feedback sia comunque al sicuro quindi da questa e da altre eventuali vulnerabilità future che sfruttino gli upload di ritorno.

    Bye