夜火 & 轨迹's Blog

为Google的OpenSocial API平台发布的首个应用程序刚上场就被撤了下来,原因是它被发现存在一处可让黑客随意更改用户个人资料的漏洞.
这个应用程序由第三方开发商RockYou为OpenSocial API平台所开发,社交网站Plaxo最先采用.不过该应用软件发布没多久,一位网名“和谐小子”(harmonyguy)的用户便提醒Plaxo营销副总裁约翰－麦克里(John McCrea)说,RockYou的“表情”程序上存在一处漏洞,利用它,黑客可以不必经过麦克里同意便在他的Plaxo个人资料上添加表情符号.

TechCrunch博客作者迈克尔－阿灵顿(Michael Arrington)说,“和谐小子”发现这个漏洞耗时不到45分钟.Plaxo随后拿下了这个软件.

麦克里上周五在Plaxo的博客网页上写道:“由于今天发现了几处漏洞,我们暂时取消了这个软件.很抱歉给大家带来了不便.此类应用尚处在早期阶段,因此难免会遇到一些波折……希望大家能多些耐心.”

就在上周,Google刚宣布了它的OpenSocial计划,雄心勃勃想要利用这个平台建立一个社交网站联盟. OpenSocial为数家不同的社交网络网站提供了统一的应用程序接口,即所谓的API,以方便第三方开发商能够开发可以在联盟成员网站上统一使用的应用程序.

Plaxo便是OpenSocial旗下的成员之一,加入该联盟的网站还包括Engage.com、Friendster、LinkedIn、MySpace、Oracle、orkut和Salesforce.com等.

“和谐小子”说他也曾成功破解过Facebook上的第三方应用软件上,如SuperPoke,但相比之下,想要在Facebook平台上改变用户的资料并不容易.Facebook没有参与Google的OpenSocial联盟.

“和谐小子”最后表示,虽然更改用户的表情算不上是严重的恶意破解行为,但如果Google不加固其平台的话,更多有威胁的破解行为就可能会接踵而至.