četvrtak, 25. listopada 2012.

Sigurnosni propust Google Drive servisa

Desktop klijentski program za korištenje Google Drive servisa pohrane datoteka i sinkronizacije, podržanog na Windows i Mac OS X operacijskim sustavima, otvara tzv. "backdoor" na Google korisničkim računima. Takav propust omogućuje pristup Drive korisničkom e-mailu, kontaktima i kalendarskim unosima.
Sinkronizacijski alat sadrži poveznicu na "Visit Google Drive on the web" koja otvara web sučelje Drive servisa unutar inicijalnog web preglednika i automatski prijavljuje korisnika na njegov račun bez potrebnog unosa lozinke. Donekle je problematična činjenica, što ta sesija može biti iskorištena za prebacivanje na druge Google servise kao što su Gmail i Google Calendar. Čak i ako se korisnik izričito odjavi preko "Sign out" poveznice s Googleovih stranica, Drive klijent će otvoriti novu sesiju bez potrebnog unosa lozinke. Desktop klijenti samo jednom zahtijevaju pristupne korisničke podatke, i to kada ga po prvi puta instaliraju i pokrenu. "Backdoor" je naročito problematičan tamo gdje korisnici s ostalima dijele svoje korisničke račune ili gdje računalo nije zaštićeno lozinkom. Zanimljiva je činjenica da čak i Googleova dvostruka autentikacija, koja od korisnika zahtijeva unos jednokratnog verifikacijskog KOD-a prilikom prijave na njihove račune, ne štiti od pristupa s klijentskog računala. Korisnicima koji žele nastaviti korištenje pogodnosti koje nudi Google Drive client softver, savjetuje se osiguravanje pristupa korisničkom računu na njihovom sustavu.

Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.