Encontrado un fallo en Google Desktop Search

Diversos investigadores de la Universidad Rice han descubierto un fallo en la versión beta de Google Desktop Search, que podría permitir a terceras partes acceder al índice de resultados buscados por el usuario, ofreciendo una pequeña parte de información sobre los contenidos privados.

La descripción de este fallo, que fue descubierto por el profesor Dan Wallach junto con dos estudiantes graduados. Estos investigadores han calificado esta vulnerabilidad de “seria” y afirman que podría permitir a un atacante leer fragmentos de archivos mezclados con búsquedas normales de Google debido al motor de búsqueda local.
Google ha sido avisado del fallo encontrado en Google Desktop Search y lo ha arreglado y está preparando una actualización a través de una característica de auto actualización, según ha afirmado la compañía.
Los investigadores de Rice afirman que los usuarios pueden comprobar si tienen la versión actualizada seleccionando el icono “acerca de” en la interfaz de Google Desktop Search. Si en esta opción aparece que se trata de la versión 121004, de diciembre de 2004, o más tarde, esa versión estará actualizada.
Para verse afectado, un usuario tendría que visitar un sitio web donde un atacante hubiera instalado una aplicación Java particular. Esta aplicación podría ocasionar ciertas conexiones de red que provocarían la mezcla de los resultados de búsqueda local de un usuario con los resultados de su búsqueda online. Cuando un usuario visita la web atacada, la aplicación puede leer el índice de resultados locales de su máquina y enviarlos de forma inmediata al servidor del atacante.