15050

Google-Lecks geflickt

16.01.2007 | 16:23 Uhr |

Zwei inzwischen gestopfte Sicherheitslöcher bei der Anmeldung zu Google-Diensten ermöglichten Unbefugten den Zugriff auf Benutzerkonten. So konnten Google-Cookies ausgelesen und gespeicherte Dokumente eingesehen werden. Die beiden Schwachstellen sind von Tony Ruscoe und Philipp Lenssen entdeckt und im Blog "Google Blogoscoped" veröffentlicht worden, nachdem Google sie beseitigt hat.

Die erste Lücke basiert auf Googles Angebot an die Nutzer von Blogspot.com, ihre Blogs auf einer so genannten "Custom Domain" eigener Wahl anzubieten. Wer eine eigene Domain hat und in deren DNS-Daten einen CNAME-Eintrag (Weiterleitung) vornehmen kann, hat die Möglichkeit sein Blog über seine Domain anzubieten, obwohl es weiterhin auf Google-Servern liegt. Der Fehler im System war, dass Blogger in den Einstellungen bei Blogspot nicht nur beliebige Domains angeben konnten, die ihnen gar nicht gehörten, sondern auch Sub-Domains von google.com.

Dadurch war es möglich die Google-Cookies von Besuchern auszulesen und damit auf deren Google-Konten zuzugreifen. Zwar konnten die Konten nicht komplett übernommen werden, es konnten jedoch zum Beispiel bei "Docs & Spreadsheets" abgelegte Dokumente und die Einkaufslisten bei Froogle eingesehen werden.

Ähnliche Möglichkeiten eröffnete eine zweite Sicherheitslücke, die Ruscoe heute veröffentlicht hat. Hier konnte ein Angreifer mittels Javascript und Cross-Site-Scripting (XSS) die Google-Cookies anderer Nutzer auslesen. Er musste sie dazu nur auf eine vorbereitete Web-Seite locken. Philipp Lenssen hat diese XSS-Schwachstelle erfolgreich mit Firefox 2.0 getestet. Google hat dieses Leck einige Stunden nach Lenssens Veröffentlichung geflickt.

0 Kommentare zu diesem Artikel
15050