作者KSfish (牧场里的蠢牛)
看板share
标题[资讯] 间谍软体渗入Blog
时间Sat Mar 5 10:45:46 2005
CNET新闻专区:Stefanie Olsen 03/03/2005
电脑骇客已经开始利用Blog散布间谍软体,暴露出这种数百万人使用的自助出版工具,有
严重的安全瑕疵。
这个问题涉及两种普遍使用的网页应用程式语言:JavaScript和ActiveX。安全专家说,
恶意程式撰写人可利用Blog的JavaScript和ActiveX,将间谍软体散布到浏览器有安全弱
点的造访者电脑中。
网路上免费提供给Blog作者、用来强化网站功能的JavaScript程式内,也藏有间谍软体。
因此,使用这些带原工具的作者,会在不知情的情况下,让个人网站成为间谍软体散布的
平台。
反间谍软体商Webroot Software科技长Richard Stiennon说:「恶意广告软体的商业链又
多了一个连结。」他表示:「如果Blog这类自制内容的网站允许使用ActiveX和
JavaScript,就成为间谍软体作者引诱网页所有人纳入若干侵略性程式的最佳地点。」
间谍软体近年来在网路族和公司行号间造成重大灾情,恶意程式的制作人利用电子邮件软
体、浏览器和桌面应用软体的安全漏洞,散布可用来窃取个人资料,或大量寄发广告的程
式。现在Blog也成为它们的散布工具。
安全专家说,只有使用微软IE浏览器,且没有选择最高安全设定的人,才会受到影响。目
前最多人使用的Blog发行工具Google的Blogger,是遭到间谍软体渗透最严重的地方,但
其他服务也可能受影响。
Blogger Blogspot.com网路的造访者抱怨,他们使用「Next Blog」连结时,不慎进入被
感染的网站。这项功能是为了帮助人们发现新的Blog,供使用者随机浏览Blogspot的各个
网站。详细记录这项缺失,并提供给Blogger的哈佛大学研究员Ben Edelman说:「他们竟
然让後门大开。」
一名Google的代表回应,该公司已经「注意到这个问题,目前正在研究中」。
Blogspot.com上各个Blog的访客表示,他们收到试图传送恶意程式的弹出式广告,其中一
则广告假意警告大家,他们的电脑容易感染间谍软体,怂恿他们点阅广告以便自我保护。
点下广告将启动下载程序,让电脑感染间谍软体。
至少有一位Blogger访客受到自动下载软体的攻击,这类程式不需使用者的任何同意,便
自动感染电脑。可能的受害者是Mallory & Tsibouris的一位律师,他在公司的网站上贴
出一句警告:我们「不为」本Blog右上角的Next Blog之使用背书。
Edelman说,恶意程式的一大帮凶是一个名叫iWebtunes.com的服务,他们提供一、两行简
单的JavaScript程式码,让人们在网站上加入音乐。使用Blogspot的Blog作者可能在样版
中植入iWebtunes的程式码,不知情地将间谍软体传送到访客的电脑。iWetunes可能依间
谍软体散布的次数收费,或可能藉由广告的销售获利。另一方面,Blog作者并没有任何好
处。
iWebtunes没有在网站上提供联络方式,并且在站主注册的Whois资料库中用第三方保护其
真实身份。该公司仅在Whois注册资料中提供一个电话号码,但这个号码一直忙线中。
Google绝不是唯一该被谴责的单位。微软长期以来放任最受欢迎的IE浏览器充满安全漏洞
,让恶意程式的作者恣意利用,已经饱受各方批评。Edelman说:「你可以怪使用者点阅
弹出式广告,谴责微软设计出不安全的软体安装系统,责怪iWebtunes传送这些弹出式广
告,你也可以怪罪那些植入iWebtunes的Blog作者。」
Webroot的Stiennon建议大家改用Mozilla的Firefox浏览器读取Blog,否则就要更改IE的
安全设定,停用浏览器内的ActiveX和JavaScript。(陈智文)
--
The road to hell is paved with good intentions
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 219.80.131.160