Dziura w Buzzie zaprasza hakerów

Robert Hansen z SecThory jako pierwszy poinformował o luce bezpieczeństwa odkrytej w nowej usłudze społecznościowej Google'a.

Uruchomiona w ubiegłym tygodniu usługa Google Buzz jest też dostępna dla urządzeń przenośnych. To właśnie w mobilnej wersji usługi znalazł się błąd, znany jako cross-site scripting. Umożliwia on hakerom umieszczenie na stronie własnego skryptu i zaatakowanie użytkowników usługi Google'a. Po ataku mogliby m.in. podszywać się pod osoby korzystające z Google Buzza.

Google już potwierdziło, że pracuje nad załataniem dziury o której poinformował Hansen. "Nic nie wskazuje na to, że luka bezpieczeństwa została aktywnie wykorzystana" - napisał Jay Nancarrow z Google'a.

Błąd odkrył TrainReq haker, który wsławił się umieszczeniem w Internecie zdjęć amerykańskiej nastoletniej gwiazdki Miley Cyrus, wykradzionych z jej e-maili.

Problemy z prywatnością

Wcześniej Google Buzz był krytykowany za niewystarczające zabezpieczenia dotyczące prywatności użytkowników. Usługa jest wbudowana w pocztę Google'a - Gmaila i korzysta z listy kontaktów użytkownika zapisanej w poczcie elektronicznej. Niedopracowane mechanizmy Buzza sprawiały, że użytkownicy publicznie udostępniali swoją listę znajomych, co umożliwiało prześledzenie z kim kontaktuje się dany użytkownik.

Google szybko zareagował na uwagi użytkowników. Mechanizm automatycznego śledzenia osób z którymi najczęściej kontaktuje się użytkownik zastąpiono systemem podpowiedzi. Obecnie użytkownik musi zatwierdzić proponowane opcje obserwowania użytkowników, może też zrezygnować z korzystania z usługi.