La nueva herramienta de búsqueda de código fuente de la compañía, Google Code Search, podría ser utilizada por atacantes para encontrar vulnerabilidades de software.


Google ha proporcionado, sin darse cuenta, una nueva herramienta a los hackers. El nuevo motor de búsqueda de código de fuente de la compañía Google Code Search, presentado el jueves como una herramienta que pretende simplificar la vida a los desarrolladores, puede ser asimismo utilizado para buscar vulnerabilidades de software, información sobre contraseñas e incluso código propietario que no debería haber sido publicado en Internet.

A diferencia del principal motor de búsqueda de Google, Code Search permite encontrar archivos de código fuente en la Red, dando así a los desarrolladores la oportunidad de hallar herramientas de código abierto que aún no conocían. Sin embargo, los atacantes podrían buscar código fuente para encontrar vulnerabilidades en contraseñas o buscar frases del tipo “este archivo contiene software propietario”, posiblemente desenterrando así código fuente que nunca debería haber sido publicado en Internet.

Los expertos en seguridad señalan que las implicaciones para la seguridad de Google Code Search son notables. Los hackers con experiencia pueden ya realizar este tipo de búsqueda en el motor de búsqueda Web de Google, pero Code Search les pone las cosas aún más fáciles.

Por su parte, Google no tiene mucho que decir sobre el potencial mal uso de su nuevo producto. “Recomendamos a los desarrolladores el uso de buenas prácticas de código generalmente aceptadas, entre las que se incluye comprender las implicaciones del código que implementan y testean”.

En realidad, Google no parece haberse esforzado demasiado nunca en acabar con este tipo de mal uso de su motor de búsqueda, aunque el problema reaparece cada cierto tiempo. En julio, Websense utilizó la poco conocida capacidad de búsqueda binaria en el motor de búsqueda de Google para localizar malware en Internet.