110908

Google Toolbar offen für Phishing-Attacken

19.12.2007 | 12:59 Uhr |

Eine Designschwäche in der Google Toolbar ermöglicht es Malware-Verbreitern und Phishern Anwender zu täuschen und Malware einzuschleusen, indem sie unter falscher Flagge zusätzlich Toolbar-Buttons anbieten.

Die Google Toolbar für den Internet Explorer und Firefox ermöglicht das Hinzufügen von weiteren Schaltflächen. Websites können solche Buttons anbieten, um zusätzliche Funktionen in der Toolbar zu verankern, etwa eine Suchfunktion für die jeweilige Website. Wie der Sicherheitsforscher Aviv Raff in seinem Blog berichtet, kann diese Erweiterbarkeit der Google Toolbar auch von Kriminellen ausgenutzt werden, um unter falschem Vorwand Buttons anzubieten, die Malware herunter laden oder gefälschte Anmeldeformulare anzeigen. Aviv Raff gibt an, Google sei über die Sicherheitslücke informiert und arbeite bereits an einer Lösung.

Die Programmierschnittstelle (API) für Googles Toolbar ermöglicht dem Betreiber einer Website einen speziellen Link anzubieten, der die Konfiguration eines neuen Buttons aus einer XML-Datei liest. Klickt ein Anwender auf einen solchen Link, wird ein Dialog angezeigt, über die Herkunft des Buttons Auskunft gibt sowie darüber, mit welcher Domain diese Schaltfläche Daten austauscht.

Durch eine spezielle Gestaltung der angegebenen URLs kann ein Angreifer erreichen, dass irreführende Informationen in diesem Dialog angezeigt werden, die über die wahre Herkunft und den Zweck des Buttons hinweg täuschen. Der Angreifer kann zum Beispiel eine Google-Weiterleitungsseite benutzen, um seine eigene URL über diesen Umweg aufzurufen, während Google als vermeintliche Download-Quelle angezeigt wird. Beispiel:

http://www.google.com/local_url?q=http://www.pcwelt.de

Im Gegensatz zur Google Toolbar für den Internet Explorer gelingt dies bei der Fassung für Firefox jedoch nicht. Allerdings ist es auch bei Firefox möglich die zweite Angabe zu fälschen, die etwas darüber aussagt, mit welcher Domain oder welchem Server der neue Button Informationen austauscht.

Aviv Raff hat auf seiner Website eine Demo bereit gestellt, die eine Schaltfläche "kritisches Update" erstellt und eine harmlose EXE-Datei herunter lädt. Eine korrigierte Version der Google Toolbar oder eine andere Lösung von Google ist noch nicht verfügbar. Daher sollten Sie der Toolbar einstweilen keine neuen Buttons hinzufügen, die Sie nicht selbst erstellt haben.

0 Kommentare zu diesem Artikel
110908