Через дыру в Google Desktop Search злоумышленник может проникнуть в компьютер и отыскать там нужные файлы, причем так, что их владелец ничего не узнает.
Профессор Ден Волеч и его ученики Сет Фогарти и Сет Нильсон называют эту дыру «серьезной»: по их словам, ее очень сложно было обнаружить.
Тестовая версия Desktop Search, которую Google представила 14 октября 2004 года, позволяет одновременно проводить поиск в интернете и на жестком диске компьютера (электронная почта, текстовые документы и другие файлы). Уязвимость в этой системе как раз кроется в объединении локальных и общемировых (в интернете) результатов.
Система сначала выдает интернет-результаты, а потом добавляет к ним результаты поиска в компьютере. Исследователи из университета Райса заметили, что именно в этот момент хакер может вмешаться, вынудив Google Desktop Search направлять результаты локального поиска на определенный сайт, где он их прочитает.
По словам профессора Волеча и его учеников, они с легкостью могут написать программу, которая одурачит Google Desktop Search: система будет принимать каждое соединение с интернетом за запрос на Google.com и предоставлять злоумышленнику информацию о локальном поиске.
«Все началось с учебного проекта по анализу Google Desktop на предмет уязвимостей, — говорит профессор Волеч. — Нам было интересно понять, как Google добавляет результаты локального поиска. Когда мы поняли алгоритм, нам не составило труда взломать систему».
Представители Google утверждают, что им сообщили об этой дырке в конце ноября, и они уже успели ее заделать.
Вслед за Google ее основные конкуренты поспешили сообщить о внедрении систем поиска на жестком диске — Microsoft запустила тестовую версию в прошлый понедельник на основе поисковика MSN, а Yahoo планирует начать тестирование своей системы в начале января.
Исследователи университета Райса еще не начали анализ программы поиска Microsoft, но уже уверены, что процесс объединения результатов поиска проходит по-другому, поэтому вряд ли такая уязвимость обнаружится.