間諜軟體滲入Blog

3則回應

分享

    

電腦駭客已經開始利用Blog散佈間諜軟體，暴露出這種數百萬人使用的自助出版工具，有嚴重的安全瑕疵。

這個問題涉及兩種普遍使用的網頁應用程式語言：JavaScript和ActiveX。安全專家說，惡意程式撰寫人可利用Blog的JavaScript和ActiveX，將間諜軟體散佈到瀏覽器有安全弱點的造訪者電腦中。

網路上免費提供給Blog作者、用來強化網站功能的JavaScript程式內，也藏有間諜軟體。因此，使用這些帶原工具的作者，會在不知情的情況下，讓個人網站成為間諜軟體散佈的平台。

反間諜軟體商Webroot Software科技長Richard Stiennon說：「惡意廣告軟體的商業鏈又多了一個連結。」他表示：「如果Blog這類自製內容的網站允許使用ActiveX和JavaScript，就成為間諜軟體作者引誘網頁所有人納入若干侵略性程式的最佳地點。」

間諜軟體近年來在網路族和公司行號間造成重大災情，惡意程式的製作人利用電子郵件軟體、瀏覽器和桌面應用軟體的安全漏洞，散佈可用來竊取個人資料，或大量寄發廣告的程式。現在Blog也成為它們的散佈工具。

安全專家說，只有使用微軟IE瀏覽器，且沒有選擇最高安全設定的人，才會受到影響。目前最多人使用的Blog發行工具Google的Blogger，是遭到間諜軟體滲透最嚴重的地方，但其他服務也可能受影響。

Blogger Blogspot.com網路的造訪者抱怨，他們使用「Next Blog」連結時，不慎進入被感染的網站。這項功能是為了幫助人們發現新的Blog，供使用者隨機瀏覽Blogspot的各個網站。詳細記錄這項缺失，並提供給Blogger的哈佛大學研究員Ben Edelman說：「他們竟然讓後門大開。」

一名Google的代表回應，該公司已經「注意到這個問題，目前正在研究中」。Blogspot.com上各個Blog的訪客表示，他們收到試圖傳送惡意程式的彈出式廣告，其中一則廣告假意警告大家，他們的電腦容易感染間諜軟體，慫恿他們點閱廣告以便自我保護。點下廣告將啟動下載程序，讓電腦感染間諜軟體。

至少有一位Blogger訪客受到自動下載軟體的攻擊，這類程式不需使用者的任何同意，便自動感染電腦。可能的受害者是Mallory & Tsibouris的一位律師，他在公司的網站上貼出一句警告：我們「不為」本Blog右上角的Next Blog之使用背書。

Edelman說，惡意程式的一大幫凶是一個名叫iWebtunes.com的服務，他們提供一、兩行簡單的JavaScript程式碼，讓人們在網站上加入音樂。使用Blogspot的Blog作者可能在樣版中植入iWebtunes的程式碼，不知情地將間諜軟體傳送到訪客的電腦。iWetunes可能依間諜軟體散佈的次數收費，或可能藉由廣告的銷售獲利。另一方面，Blog作者並沒有任何好處。

iWebtunes沒有在網站上提供聯絡方式，並且在站主註冊的Whois資料庫中用第三方保護其真實身份。該公司僅在Whois註冊資料中提供一個電話號碼，但這個號碼一直忙線中。

Google絕不是唯一該被譴責的單位。微軟長期以來放任最受歡迎的IE瀏覽器充滿安全漏洞，讓惡意程式的作者恣意利用，已經飽受各方批評。Edelman說：「你可以怪使用者點閱彈出式廣告，譴責微軟設計出不安全的軟體安裝系統，責怪iWebtunes傳送這些彈出式廣告，你也可以怪罪那些植入iWebtunes的Blog作者。」

Webroot的Stiennon建議大家改用Mozilla的Firefox瀏覽器讀取Blog，否則就要更改IE的安全設定，停用瀏覽器內的ActiveX和JavaScript。（陳智文）