Passo falso per Google: prima vulnerabilità

Google ha rilasciato, nei giorni scorsi, la versione beta di Desktop Search, un motore di ricerca desktop, che si installa sul proprio PC e che permette di ricercare informazioni, né più né meno di come gli utenti fanno normalmente su Internet. Il programma (che viene eseguito in locale) è in grado di fare una ricerca full text su e-mail, documenti, chat, pagine Web visitate. In particolare la ricerca avviene nei messaggi di posta di Outlook (2000, 2003, Express dalla 5 in poi); nei file txt, doc (Word), xls (Excel) e ppt (PowerPoint), nelle chat di AOL (America on line) e nelle pagine Web visitate con Internet Explorer.
Spunta però la prima falla di sicurezza. Nei giorni scorsi Jim Ley, amministratore delle FAQ del newsgroup comp.lang.javascript, aveva scoperto una vulnerabilità nel nuovo tool firmato Google che avrebbe permesso a siti web di terzi di visualizzare i risultati delle ricerche condotte da parte dell’utente sul proprio personal computer utilizzando proprio Google Desktop Search.
Sembra che Ley abbia tentato di mettersi in contatto con Google per quattro giorni di fila senza ricevere alcuna risposta. Martedì Jim Ley ha “rincarato la dose” mostrando sul suo blog come il bug poteva essere sfruttato per indurre in errore l’utente sprovveduto: una finestra spiegava come Google sarebbe diventato un prodotto a pagamento ed invitava ad inserire il proprio numero di carta di credito (ved. questa pagina).
Dopo il silenzio iniziale, Google sembra ora aver risolto il problema.