" Quand vous avez des tierces parties écrivant du code qui interagit avec votre navigateur, cela casse de manière inhérente le modèle de sécurité du navigateur ", indique t-il, selon nos confrères d'InfoWorld.. Pour exploiter la vulnérabilité de Google Desktop, un pirate informatique devrait d'abord lancer une attaque de type man-in-the-middle, consistant à se mettre entre les serveurs de Google Desktop et le client ( la victime ) pour intercepter des informations.
Une fois ceci fait, le pirate peut lancer l'attaque expliquée par Hansen en changeant les pages Web délivrées au PC de la victime. En ouvrant ces pages Web, l'internaute peut cliquer par inattention sur un lien malicieux " Quand ils cliquent sur le bouton de la souris, ils ne cliquent pas sur la page Web, ils cliquent sur un lien pointant vers Google Desktop qui exécute en réalité du code " a ajouté Hansen.
Il a cependant indiqué que les différentes étapes de ce proof of concept étaient délicates à mettre en place du fait des fonctionnalités de sécurité que Google a implanté dans Desktop. Mercredi, c'est le chercheur en sécurité Christopher Soghoian qui avait expliqué comment il était possible d'utiliser une attaque de type man-in-the-middle pour installer des applications malveillantes sur des ordinateurs utilisant des barres d'outils pour Firefox comme celles de Google, de Yahoo ou d'AOL.
En février, Google Desktop fut également victime d'une faille présente dans la fonctionnalité de Recherche Avancée permettant d'obtenir un accès non autorisé à des données ou bien de lancer des logiciels malicieux sur la machine de la victime.
