陳宛綺
和 Microsoft 一樣,Google 的獨大地位已經使其成為數位犯罪的標靶。
安全性一直都是 Google 關注的重點,這與其他任何有在使用網路的公司無異,差別在於 Google 服務的對象是廣大的一般群眾,因此安全性是很重要的承諾。 Google 所面臨的問題在於,他們努力要向使用者(包括使用像是 Gmail 這類工具的商務客戶)做的保證,必須要能夠抵抗 Google 相關服務時有所聞的危安事件。
最近一則消息是 Coding Horror(由程式設計師 Jeff Atwood 主持的知名部落格)上面發表的文章指出,Windows 平臺上面有個叫做 G-Archiver 的共享軟體(功能是把 Gmail 郵件歸檔)會去竊取使用者的 Gmail 登入資訊。這項主張出自於在美國中西部經營資料庫管理公司的.Net 程式設計師 Dustin Brooks 。 Brooks 表示他使用一個叫做 Reflector 的程式分析工具,來檢視該應用程式的原始碼,發現有一組 Gmail 地址和密碼被寫死在程式碼裡面。當他嘗試存取該帳號的時候,赫然發現收件匣裡面收到 1,777 封個別帳號資訊的電子郵件──其中也包含他自己的。
發佈 G-Archiver 的公司 MateMedia 並未對此做出任何評論。在 G-Archiver 的網站上面,一篇身分不明人士所張貼的文章宣稱,這看起來像是惡意的行為,其實是在偵錯程式碼的時候不慎遺留在該程式裡面的。
說起來,G-Archiver 事件只不過是反映了使用未知來源的軟體會有的風險。同時也說明了 Google 的廣受歡迎反而使其成為標靶。畢竟,這次的目標是 Gmail,而非網頁郵件市場的領導者 Yahoo Mail 。
Google 發表聲明指出,該程式「據稱會將 Gmail 儲存到使用者的硬碟上面,實際上卻會收集任何使用該應用程式的用戶的電子郵件地址和密碼。」並且強調 G-Archiver 並非 Google 的產品,而是由使用者自行下載的軟體,使用時必須輸入個人資料。
在同一個禮拜的另外一篇部落格文章裡面,工程副總裁 Douglas Merrill 詳細說明了 Google 的安全觀與實踐哲學。「雖然你可能永遠不會遭遇安全性問題,不過我們仍然非常嚴肅地看待安全,而這也是為什麼我們能夠擁有一些世界上最好的工程師,在這裡為了讓資訊更加安全而努力的原因。」他寫道。 Google 表示文章發表的時間點只是巧合,他們本來就有計畫要發表一系列有關線上安全的文章,因為他們從使用者那裡收到許許多多的問題。
Google 也有不少事情要煩惱。他們已經成為駭客資訊的來源了,像是 Goolag Scanner 和 Google Hacking Database Tool 這類的自動掃描工具,都是利用 Google 搜尋引擎來尋找已知的弱點。去年 12 月的時候,Google 不得不移除掉其 Orkut 社交網站上面的蠕蟲,並且解決會將 Google AdSense 文字廣告置換成惡意廣告的 Trojan.Qhost.WU 惡意軟體。而在 11 月的時候,Google 對其搜尋索引進行了重大的淨化工程,以便移除那些由垃圾蟲 (spammer) 製作的、刻意要引人注意的宣傳網頁。