Symantec的工程师Eric Chien表示,当前,作为一种可以在桌面显示一些类似天气预报的实用信息的桌面工具,gadget和widget,正逐渐流行起来。这是一个隐患,它们可能成为下一个重大的安全威胁。
当前比较流行的这类软件有Google gadgets和Yahoo widgets,它们一般可以实时地以图形的方式显示当前电池状态、天气情况、证券价格等最新的信息。Chien表示:“它们不同于以往的插件和sandboxed applet,它们是独立和完整的应用程序,这使得它们更加具有被攻击的可能。”Gadget驻留在桌面或者工具栏中,它可以用类似于JavaScript或者VBScript一类的脚本语言编写,也可以用C++或者C#一样的程序语言编写。尽管从外表上看起来gadget和widget并没有太多的危险,但是事实上它们和一般的应用程序一样,具有对系统进行操作的所有权限,包括进行一些恶意的攻击。比如安置木马,扩散蠕虫或者其他病毒等等。使用某些gadget的API甚至可以使用一些原本需要身份认证的服务,比如gadget可以搜集系统的信息,截获键盘和浏览器数据,并且通过电子邮件或者即时通信工具等把这些信息传播出去。”
Chien还介绍说:“因为所有的gadget都支持JavaScript,所以很可能出现跨平台感染的可能。一个Yahoo的gadget可能会感染一个Vista的gadget”Windows Vista使用了Sidebar技术,这种技术提供了对gadget的支持,这让gadget成为了一个很好的被攻击的目标。当然,尽管建立一个恶意gadget并不困难,但是当前gadget之间病毒的感染和传播还不算是个很大的威胁,因为毕竟使用gadget框架的用户的数量还相当少。
微软(新西兰)的市场经理David Rayner说:“使用gadget不存在增加系统危险的问题,它的危险性同在网上下载其他的任何文件的危险性是一样的。新推出的Windows Vista会是安全性最好的一个Windows版本”。
David Rayner还表示在1月30号会有一些gadget会随着Vista一起发布。Gadget的代码是可以被察看的,因此对于一个了解这种代码的人来说,会很容易检测到恶意的gadget。但是另一方面来说,由于许多的gadget都是用脚本语言编写的,要想在现有的gadget基础上添加附加内容也非常容易。有些gadget框架会限制对gadget代码的修改,但是在Vista中并没有这样的功能。
Chien提醒目前的gadget用户,只安装从可信地点得到的gadget,而且在使用它之前先考虑清楚是不是真正有必要使用它。
上文中Chien的讲述源自去年十二月他在AVAR (Association of Anti-virus Asia Researchers)讨论会上的发言。