Widget برنامه کوچک اما خطرساز

Widgetها همان برنامه‌های کوچک و جالب گرافیکی هستند که موارد مربوط به زمان (ساعت)، ماشین‌حساب و یا پیش‌بینی آب و هوا را در کنار دسک‌تاپ شما قرار می‌دهد.
طبق تحقیقات اخیر، همه Widgetها امنیت پایینی دارند و راه ورود کدهای مخرب را به کامپیوتر کاربر باز می‌کنند. حفره‌های موجود در این برنامه‌ها چندی است رو شده‌اند: در به روزرسانی سه‌شنبه گذشته مایکروسافت معلوم شد که Widgetهای ویستا احتمال حمله کدهای مخرب از طریق feedها و یا لینک‌های RSS را بیش‌تر می‌کنند.
اپل نیز در ماه ژوئن سرویس جدیدی به نام Widget را برای مرورگرش عرضه کرد. این سرویس که یک موتور واسط است، نه تنها کارآیی مرورگر سافاری موجود در کامپیوترهای اپل را افزایش می‌دهد، بلکه در Dashboardهای سیستم‌های اپل نیز کاربرد دارد.
Dashboardها مجموعه‌ای از برنامه‌های کوچک هستند که اطلاعات زمان، آب و هوا، سهام بورس، پروازها و غیره را به صورت بلادرنگ نمایش می‌دهند.
فین‌جان (Finjan) یک شرکت امنیتی واقع در سن خوزه کالیفرنیا است. این شرکت از حملات جدیدی خبر داده است که با سوءاستفاده از برنامه‌های کوچک کامپیوتری در محیط‌هایی چون سیستم‌عامل ویستا، نرم‌افزارهای شرکتی و Widgetهای وب، امنیت دستگاه را زیرسوال می‌برند. متخصصان شرکت فین جان معتقدند که به زودی این حملات در سطح وسیعی رخ خواهند داد و تنها راه مقابله با آنها تغییرکامل شیوه امنیتی برنامه‌ها است. در گزارش جدید فین جان آمده است: در همه محیط‌های برنامه Widget اثراتی از حفره‌های امنیتی دیده می‌شود که حاصل مدل ناامن به کار گرفته شده در طراحی Widgetهاست. مدل امنیتی فعلی امکان اجرای Widgetهای بدافزارانه را نیز ممکن می‌سازد، ضمن اینکه در اغلب برنامه‌ها یک یا چند Widget آسیب‌پذیر یافت می‌شود که از همان زمان نصب مشکل دارند. مرکز تحقیقات کدهای مخرب نیز در گزارش سه ماهه سوم خود قید کرده است: نمونه‌های موجود ثابت می‌کند که در طراحی و توسعه این ریز‌برنامه‌ها ملاحظات امنیتی در نظر گرفته نشده است.
شرکت فین جان سابقه‌ای طولانی در حوزه امنیت Widgetها دارد، تا جایی که مایکروسافت به روزرسانی کد MSO۷-۰۴۸ (آخرین وصله امنیتی که سه‌شنبه پیش منتشر شد) را به این شرکت واگذار کرده بود.
همچنین ایویو راف (Aviv Raff) و آیفتاک یان آمیت (Iftach Ian Amit)، متخصصان امنیتی فین‌جان در کنفرانس مربوط به هکرها در ۵ اوت تحقیقات خود را باعنوان "ناامنی ذاتی Widgetها" ارایه کردند.
از دیدگاه آنها Widgetها از روش‌های شناخته شده وب مانند ارایه محتوا با HTML و واسطه‌های برنامه‌نویسی شبه جاوا تبعیت نمی‌کنند. آسیب‌پذیری ناشی از Widgetها همانند آنهایی هستند که به صورت متداول در وب دیده می‌شوند، اما Widgetها و ابزار کوچکی از این دست به دلیل ارتباط گسترده، میزان تهدید را افزایش می‌دهند.
بدین ترتیب یک حمله خطرناک در طول زمان ارتباط، امکان دسترسی به منابع محلی کاربر را می‌یابد.
شرکت کالیفرنیایی فین جان تاکنون حفره‌های متعددی را در Widgetها یافته است.
یکی از Widget هایی که توسط این شرکت ترمیم شده، دفترچه تلفن در نوار کناری ویندوز ویستا است. پیش از اصلاح، هکرها می‌توانستند در قالب یک شماره تلفن یا آدرس کدهای مخرب‌شان را جاسازی کنند، بدون اینکه کاربر متوجه موضوع شود و یا کار خاصی انجام دهد.
یکی دیگر از حفره‌های جدید مایکروسافت، پورتال Live.com است که شامل وضعیت Hotmail، پیش‌بینی وضع هوا و عناوین مهم خبری می‌شود. Widgetهای این پورتال نیز مستعد جذب کدهای مخرب شناخته شده‌اند.
Widgetهای معروف یاهو نیز از نظر امنیتی دست کمی از سایرین ندارند. Widget مخصوص دفترچه تلفن در میان برنامه یاهو نسبت به حملات اینترنتی آسیب‌پذیر است.
متخصصان امنیتی به دلیل گسترش برنامه‌های Widget در Live.com, iGoogle، یاهو، سیستم‌عامل ویستا و مکینتاش، آنها را از عوامل افزایش حملات دانسته‌اند و به کاربران توصیه می‌کنند از نصب و اعتماد به Widgetهایی از شرکت ناشناخته بپرهیزند.همچنین آنها معتقدند که در کار با Widgetهای تعاملی در اینترنت کمی هوشیار باشند، زیرا امکان برخورد کدهای مخرب و اطلاعات تقلبی در میان اطلاعات صحیح بیش‌تر می‌شود. شرکت فین جان در صدد محدودکردن سیاست‌های امنیتی مربوط به Widgetها و موتورهای آنهاست. مرکز تحقیقات کدهای مخرب در گزارشی تصریح کرد: فروشندگان و کاربران، هر دو باید نسبت به برنامه‌ها کاملا آگاه باشند، حتی اگر برنامه بسیار کوچک باشد و تنها کاربرد سرگرمی داشته باشد. حفره‌های موجود در Widgetها ممکن است در پایان، به از بین رفتن کنترل سیستم بینجامد، بنابراین هر توسعه و اصلاحی که در این زمینه صورت گیرد به نفع همه خواهد بود.