12402

Google-Mail-Tool klaut Konto-Daten

11.03.2008 | 16:28 Uhr |

Auf einen erstaunlichen Fund ist ein Entwickler gestoßen, der sich die Software G-Archiver näher angesehen haben: Das Tool klaut die vom Anwender eingegebenen Google-Mail-Daten.

Den Namen G-Archiver trägt ein kostenpflichtiges Tool, dass Anwendern die Möglichkeit bieten soll, ein Backup von den auf Google Mail hinterlegten Mails anzulegen. Eine kostenlose Demo-Version steht ebenfalls zum Download bereit. Hier gilt die Einschränkung, dass nur ein Backup von 50 Nachrichten angelegt werden kann.

Aber allein die Demo-Version reicht aus, um in eine Falle zu tappen. Das Tool protokolliert nämlich den eingegebenen Google-Mail-Kontonamen und das dazugehörige Passwort und sendet die Daten an eine Mail-Adresse.

Ein Entwickler, Dustin Brooks, stieß auf das gefährliche Verhalten von G-Archiver, als er sich den Code näher anschaute. Brooks fiel auf , dass im Code im Klartext die Google-Mail-Adresse inklusive Passwort des G-Archiver-Entwicklers hinterlegt war. Er wurde skeptisch, warum diese Informationen im Code enthalten sind und loggte sich bei Google Mail mit den Daten aus dem Programmcode ein.

Das Ergebnis: G-Archiver hatte automatisch über 1700 Mails an das Google-Mail-Konto geschickt, denen die Usernamen und dazugehörigen Passwörter der G-Archiver-Nutzer zu entnehmen waren. Auch die Daten, die Brooks kurz zuvor eingegeben hatte, waren bereits im Google-Mail-Konto eingetrudelt.

G-Archiver wird mittlerweile nicht mehr zum Download angeboten. Der Website zum Tool ist zu entnehmen, dass die Verbreitung vorerst eingestellt worden sei. "Wir sind darüber informiert worden, dass ein Fehler im Code von G-Archiver dazu geführt haben könnte, dass die Google-Mail-Kontodaten der Nutzer offenbart worden sind", heißt es auf der Website des Anbieters, der seinen Anwendern empfiehlt, sofort die Software vom Rechner zu löschen und ihre Passwörter für den Google-Mail-Zugang zu ändern.

Der Anbieter entschuldigt sich damit, dass einer der G-Archiver-Entwickler für das Debuggen einen Code hinzugefügt habe und diesen vergessen habe zu löschen, ehe das Tool der Öffentlichkeit zur Verfügung gestellt worden sei. Eine neue Version, die den Fehler nicht enthält, soll in Kürze veröffentlicht werden.

Auch wenn der Anbieter von G-Archiver, wie er behauptet, nicht mit Absicht gehandelt haben mag, offenbart der Fall, wie gefährlich Software sein kann, die vom Anwender die Eingabe sensibler Daten fordert. Das der Username und das Passwort in der Software im Klartext hinterlegt waren, deutet eher auf ein Versehen hin. Jedenfalls dann, wenn man gutgläubig den G-Archiver-Machern nichts Böses unterstellen will. Ein böswilliger Angreifer hätte sicherlich diese Daten im Programmcode verschlüsselt abgelegt und damit auch dafür gesorgt, dass man ihm nicht so einfach, wie in diesem Fall, auf die Schliche kommt.

Brooks reagierte übrigens wie folgt auf seinen Fund: Er löschte alle Mails auf dem betreffenden Mail-Konto und änderte das Passwort für den Zugang zu diesem Mail-Konto ("Es könnte sein, dass ich versehntlich das Passwort geändert habe und ich mich nicht mehr dran erinnere", schreibt Brooks). Außerdem informierte er Google über den Vorfall und bat um die Sperrung des Mail-Kontos.

Neue Version hin oder her: G-Archiver dürfte es schwer fallen, seine Kundschaft zu halten.

0 Kommentare zu diesem Artikel
12402