Google Desktopに新たな脆弱性――セキュリティ企業が実証ビデオを公開、MITM攻撃でサーバとPCを中継し、ソフトをリモート実行

 米国のセキュリティ・コンサルタント会社、セクセオリー・ドットコムは5月31日、米国Googleのデスクトップ検索ツール「Google Desktop」で、オンライン攻撃に悪用されるおそれのある脆弱性を発見したことを明らかにした。

 セクセオリーが発見した今回の脆弱性に関する詳細な説明はHa.ckers.orgサイトで閲覧することができる。

 セクセオリーのCEOであるロバート・ハンセン氏は、同サイトにポストしたコメントの中で、「この脆弱性を悪用した攻撃は、実行するのが難しく、攻撃対象のPCに不正なソフトウェアをインストールする目的では必ずしも利用されないかもしれない。Webアプリケーションでどのようなセキュリティ問題が発生するのかを示すものと考えていただきたい」と述べている。

GoogleDesktop.jpg
セクセオリーは実証ビデオをGoogle Videoで公開している

 ハンセン氏が指摘したGoogle Desktopの脆弱性を悪用するには、攻撃者はまずMITM攻撃(man-in-the-middle attack)を成功させ、GoogleのサーバとエンドユーザーのPCとの間に入り、両者のやり取りを中継できるようにする必要がある。これは、ユーザーをだまして悪意ある無線ネットワークにログオンさせることによって行われる可能性があると、ハンセン氏は説明している。

 攻撃者がMITM攻撃に成功すると、ユーザーのPCに送信するWebページを変更する。つまり、新しいJavaScriptコードを仕込んだWebページをPCに返信し、そのユーザーをだまして悪意あるリンクをクリックさせるわけだ。

 Google Desktopの脆弱性を突く攻撃がこのように複雑なステップを踏むのは、Googleが自社のソフトウェアにセキュリティ機能を組み込んでいるからだと、ハンセン氏は付け加える。「私が説明した手法は、Googleが懸命に防ごうとしているさまざまな攻撃を組み合わせたものだ」(同氏)

 ハンセン氏は、このステップによってWindows HyperTerminalを起動できることを示したビデオをGoogle Videoで公開している。同氏によると、この攻撃は、PCにインストールされているほぼあらゆるアプリケーションを起動するのに利用できるという。

 Google Desktopで脆弱性が見つかったのは今回が初めてではない。今年1月には、米国ウォッチファイアのエンジニアが、クロスサイト・スクリプティング攻撃を許す脆弱性がGoogle Desktopに存在するとして警告を行っている。

 また、その2日後にハンセン氏も、クロスサイト・スクリプティングを応用した「Anti-DNS Pinning」攻撃によってGoogle Desktopユーザーの情報を盗み出す方法を公開した。

 Googleのソフトウェアに関しては、セキュリティ専門家のクリストファー・ソゴイアン氏が5月30日に、Firefox用Google Toolbarに脆弱性があることを明らかにしたばかりだ。同氏は、Google、Yahoo!、AOLのツール・バーなどのFirefoxアドオンが導入されたコンピュータに、MITM攻撃を用いて悪意あるソフトウェアをインストールする方法を公表している。

(ロバート・マクミラン/IDG News Service サンフランシスコ支局)

米国セクセオリー・ドットコム
http://sectheory.com/

提供:Computerworld.jp