J漾諸事會社

ZDNet記者馬培治／台北報導
 
2008/02/18 19:53
 搜尋龍頭Google提供的個人首頁服務iGoogle傳出安全漏洞，使用者反應，訂閱特定小工具(gadget)後，整個iGoogle首頁都會被轉址到另一個網站。
部份本地與海外網友自前(2/16)日起陸續發現無法正常使用Google推出的個人化首頁服務iGoogle，根據美國CNET論壇、Google論壇上的使用者反應，某些使用者在登入iGoogle首頁後，一開始會正常顯示，但卻會在幾秒內被轉址至另一網站，使用者並一度懷疑iGoogle首頁遭駭客綁架，不過根據其他網友追查，發現問題出在一疑似遭惡意程式感染的小工具，僅有訂閱該小工具的使用者，會遭轉址。

Google迄今未公佈解決之道，但網友則已自力更生，在上述論壇中互相交流解決方式。網友們在論壇上表示，造成轉址的禍首是疑似感染惡意程式的小工具「This Day in History」，使用者若有在個人iGoogle首頁中訂閱「This Day in History」，即會發生轉址現象。

對於iGoogle的安全疑慮，Google透過公關公司表示，由於相關發言主管都正在開會或出差，至截稿前尚無法取得Google的官方回應。

不論回應如何，Google已在使用條款中排除責任。根據Google公佈的使用條款，Google雖禁止用戶上傳違法內容與惡意程式，但若有用戶因此導致權益受損，Google不會負任何責任。

值得注意的是，疑似是禍首的iGoogle小工具，其開發工作是開放由使用者或服務提供者主動進行，再讓網友自行搜尋、挑選，資安專家便批評，若Google未能對小工具內容或其連結的內容網站做好安全把關，則iGoogle的平台特性，反而可能會成為惡意程式或網站的擴散中心。

McAfee技術經理沈志明便表示，過去的首頁綁架多半是透過病毒感染，再更改使用者電腦的IE瀏覽器設定達成，但此次卻可能是小工具本身，或其所連結的網頁有安全問題或遭感染，才導致iGoogle被轉址，在Google擁有超過兩萬個小工具，且持續增加中的情況下，「要一一去確認安全性老實說並不容易，」他說。

趨勢科技技術顧問戴燊則警告，此種手法很可能會與網頁惡意程式結合，造成更大危害。根據目前的使用者回報，並未在iGoogle轉址後的網頁上發現攻擊行為或病毒，但戴燊認為，在駭客確定可透過小工具讓iGoogle用戶轉址的情況下，未來將使用者轉至惡意網站的攻擊型式勢必會跟著出現，「畢竟任何人都可以上傳自己開發的小工具，iGoogle被利用來散佈病毒的可能性絕對存在，」他說。

戴燊表示，不只iGoogle的小工具，任何網友自創內容(UGC, User-Generated Content)都會存在類似的安全風險。他以國內網友較熟悉的拍賣服務為例指出，有些駭客便會在商品介紹頁面附上佯稱為商品簡介的網址，使用者點擊連結後，才發現是惡意網站，但卻為時已晚，已遭感染。

沈志明與戴燊皆建議，服務提供者應該預先檢查使用者上傳內容的安全性，例如是否藏有惡意連結或惡意程式碼，並定期檢查已上傳或曾更動過的內容，此外，用戶則應確實安裝資安軟體，「必須使用者與業者雙管齊下，才能將風險減到最低，」沈志明說。