• Tweet

En riesgo contraseñas y otros datos Web, dijo una empresa de seguridad.

Varias fallas en el popular software Google Desktop podrían exponer a PC's a los intrusos y a un robo de información, ha advertido una compañía de seguridad.

El gigante de las búsquedas ha liberado actualizaciones para estos problemas, que fueron reportados por Watchfire en un articulo publicado ayer. Uno de los problemas es una falla de cross-site scripting que podría permitir que un usuario externo vea archivos en una maquina comprometida.

Google Desktop aplica la misma tecnología encontrada en el motor de búsqueda de Google para permitir a los usuarios tratar de encontrar información en sus PCs y en computadoras dentro de una red compartida. La herramienta indexa y examina correos electrónicos, documentos y archivos en la computadora del usuario y almacena paginas Web como parte de su funcionamiento.

Los intrusos podrían usar cross-site scripting para manipular el funcionamiento de Google Desktop para sus propios fines, dijo Danny Allan, director de investigación de seguridad en Watchfire. La integración de la aplicación de escritorio con la aplicación publica de búsquedas por Internet de Google, es un punto débil, agregó. Esto significa que las vulnerabilidades encontradas por Watchfire podrían haber sido explotadas sin que el ataque fuera detectado por sistemas de protección de información, como algún software antivirus y firewalls.

Tal ataque es diferente de los tradicionales, porque depende del código JavaScript, en lugar de la inserción de código binario, para controlar Google Desktop. Este utiliza remotamente la aplicación para buscar información confidencial, de acuerdo con el reporte de Watchfire.

Esto significa que contraseñas e información bancaria almacenada en archivos de computadora o en el historial de paginas Web podría ser accedido remotamente por el atacante, dijo Allan.

Watchfire notificó a Google el 4 de enero de tres vulnerabilidades y una falla de arquitectura en la aplicación, dijo Allan. Google respondió a la compañía de seguridad el 1 de febrero y solicitó unas semanas antes de que Watchfire hiciera publica la información. El gigante de las búsquedas ha publicado una actualización para los problemas.

Google dijo en una declaración: "Una corrección fue desarrollada rápidamente, y los usuarios están siendo actualizados automáticamente con la actualización. Ademas, tenemos otra capa de verificaciones de seguridad en la ultima versión de Google Desktop para proteger en el futuro a los usuarios de vulnerabilidades similares".

La compañía de búsquedas recomendó que las personas se aseguraran de que están usando la versión más reciente de Google Desktop.

Parece que actualmente nadie ha tomando ventaja de las vulnerabilidades con ataques a los usuarios de Google Desktop, dijeron tanto Watchfire como Google.

Sin embargo, Google Desktop es aun vulnerable a esos ataques de cross-site scripting, dijo Allan, debido a la "pobre decisión de arquitectura" de incluir un enlace de los servidores Web de Google a Google Desktop en la computadora del usuario.