Механизм добавления кнопок на панель может быть использован для фишинг-атак и несанкционированных загрузок зловредного ПО.
Во вторник компания Google заявила, что работает над устранением
ошибки в Google Toolbar, которая может позволить киберпреступникам
украсть конфиденциальную информацию или установить злонамеренное ПО.
Так как установка новых кнопок не проверяется, атакующий может
подменить оригинальную кнопку на панели инструментов своей. При
активации данной кнопки происходит фишинг-атака или устанавливается
шпионское программное обеспечение.
Но надо понимать, что для того, чтобы произвести успешную атаку,
пользователь должен выполнить несколько шагов. Так, для начала,
необходимо установить новую кнопку на панель, предварительно кликнув по
соответствующей ссылке, например, во всплывающем окне. Потом, после
установки, еще раз кликнуть уже по самой кнопке и загрузить или
запустить злонамеренный код.
Из-за того, что пользователю необходимо предпринять столько усилий,
чтобы атака оказалась успешной, то эту уязвимость панели инструментов
нельзя считать критической.
Хотя это и не серьезная проблема, однако, ее пропуск Google не делает ей чести. И это не единственная ошибка Google.
На основании вышесказанного можно сделать вывод о том, что
программисты Google не достаточно хорошо проверяют создаваемый
HTML-код. Например, специально созданная ссылка, якобы ведущая на сайт
Google на самом деле запускала преступный код.
Эта ошибка была устранена спустя несколько часов после ее
обнаружения, однако на сайте Finjan Inc можно просмотреть видео о том,
как могла быть использована данная уязвимость.
|