Het lek in Google Desktop is ontdekt door Google-hacker Robert Hansen. Inmiddels heeft Hansen details gepubliceerd die uitleggen hoe aanvallers Google Desktop kunnen misbruiken om een reeds geïnstalleerde applicatie te starten.

Hoewel de aanval niet eenvoudig met succes is uit te voeren en mogelijk niet eens kan worden gebruikt om eigen software op een systeem te installeren, toont het volgens Hansen wel aan welke beveiligingsrisico's webapplicaties met zich meebrengen.

Om het lek succesvol te kunnen misbruiken, dient een aanvaller eerst de communicatie tussen zijn potentiële slachtoffer en de Google-server te kapen. Dit kan volgens Hansen worden gedaan door iemand bijvoorbeeld gebruik te laten maken van een speciaal daarvoor opgezet draadloos netwerk.

De hacker heeft een video gepubliceerd waarin hij demonstreert hoe zijn ontdekking kan worden gebruikt om Windows Hyperterminal te starten. Het lek kan echter worden misbruikt om nagenoeg elke reeds geïnstalleerde applicatie op de machine te starten.

Bron: Techworld