研究人員用Google Gears展示離線儲存的漏洞攻擊

搜尋研究業者Zscaler副總裁Michael Sutton周三（2/18）在黑帽大會上展示（PDF檔，8.17MB）如何利用網站上的跨站攻擊（cross-site scripting，XSS）漏洞存取使用者電腦中所儲存的Google Gears離線資料庫。

Sutton提出了網路瀏覽器儲存功能存在安全風險的看法，表示瀏覽器的功能已不再是最初簡單的瀏覽需求，而若要應用程式得以同時在線上與離線時使用，永久的客戶端儲存功能則是必要的，諸如永久的cookie、Flash儲存與Google Gears等，但大多數的開發人員卻不了解相關的安全風險。

Sutton指出，諸如Google Gears或是HTML 5規格中的資料庫儲存功能等瀏覽器儲存解決方案可能因為各式網站上的XSS漏洞而遭到攻擊。

Sutton認為，這些瀏覽器儲存解決方案就算皆已採用適當的安全保護技術，但只要這些技術是被應用於不安全的網站上，這些保護便失去意義。

Sutton是利用Paymo.biz上的XSS安全漏洞來示範相關的攻擊行動，Paymo為一提供所耗時間及收入分析服務的網站，但該站含有可執行XSS的安全漏洞，可讓駭客用來存取使用者端的Gears離線資料庫。

Gears為Google所開發的瀏覽器外掛程式開發工具，可將線上應用程式轉為離線使用，使用者的許多線上資料會因此存在個人電腦端，Google已相繼利用該技術推出Google Reader、Google Docs及Gmail離線服務。

不過，Sutton強調，此一攻擊與Gear的安全性無關，而是因為不安全的網站採用了Gears功能所導致的，並藉此呼籲業者要強化網站的安全性。

Sutton的研究顯示，網路安全是環環相扣的，就算使用安全的軟體，也可能因為造訪不安全的網站而被攻擊。根據資安研究業者WhiteHat Security去年的調查，全球有82%的網站至少含有一個安全漏洞。（編譯/陳曉莉）