Google、デスクトップ検索ツールの脆弱性を修正

Google は20日、ベータテスト中のデスクトップ検索ツール『Google Desktop Search』に、ローカルファイルの検索結果をクラッカーが盗み見る恐れのある脆弱性が見つかり、これを修正したことを明らかにした。

同脆弱性は、Rice 大学のコンピュータ サイエンス学部に所属する Dan Wallach 氏、Seth Nielson 氏、Seth Fogarty 氏の3名が発見して、11月に Google へ通知したものだ。3名は、この問題に関する報告書『Attacks on Local Searching Tools』(PDF ファイル) を公開した。

Google のデスクトップ検索プログラムは、ローカル Web サーバーを構築するが、ユーザーが検索機能にアクセスできるのは、「localhost」または IP アドレス「127.0.0.1」への接続のみだ。

しかし Google は Web 検索との統合を図るため、ユーザーが同社の検索サイト上で Web 検索を実施した際、デスクトップ検索の結果も同時に表示する機能を、Google Desktop Search に実装している。

脆弱性を発見した3名は、ローカル上で動作する複数のエージェントによって行なった、Google の Web サーバーに対するどんな HTTP リクエストでも、このデスクトップ検索および Web 検索の統合動作が機能することを見出した。後は Google の Web 検索を行なったと思わせることができれば、Google Desktop Search は自動的にデスクトップ検索の結果を挿入してしまうことになる。

統合表示するデスクトップ検索結果には、ローカルファイルの内容を抜粋した文章が付くため、ローカルファイルを直接晒すわけではないとはいえ、ファイルの一部は攻撃者に漏れてしまう。

こうしたファイル内容の断片データは、Web サイトで必要なパスワードのリストなど、重要な情報を含む可能性があると、発見者は記している。

例えば、問題の脆弱性を悪用する Java アプレットなどを備えた悪質サイトにアクセスすると、そのプログラムは Google の Web サイトに接続していると Google Desktop Search を騙して、統合表示動作を行なわせ、その結果、悪質サイトはデスクトップ検索結果を入手できるという。

Google の広報担当によると、脆弱性はすでに修正済みで、先週から更新版の提供を始めているという。Windows の自動更新と同様に、Google Desktop Search も自動的に更新をダウンロードし、インストールすることが可能だ。

バージョン情報については、タスクトレイの Google Desktop アイコンメニューから、「About」を選択して確認できる。Rice 大学のセキュリティ情報によれば、バージョン番号が2004年12月10日版を示す「121004」以降なら、今回の脆弱性に対応済みという。