19.12.2007, 12:59

Frank Ziemann

Sicherheitslücke

Google Toolbar offen für Phishing-Attacken

Eine Designschwäche in der Google Toolbar ermöglicht es Malware-Verbreitern und Phishern Anwender zu täuschen und Malware einzuschleusen, indem sie unter falscher Flagge zusätzlich Toolbar-Buttons anbieten.
Google Toolbar

Google Toolbar

Die Google Toolbar für den Internet Explorer und Firefox ermöglicht das Hinzufügen von weiteren Schaltflächen. Websites können solche Buttons anbieten, um zusätzliche Funktionen in der Toolbar zu verankern, etwa eine Suchfunktion für die jeweilige Website. Wie der Sicherheitsforscher Aviv Raff in seinem Blog berichtet, kann diese Erweiterbarkeit der Google Toolbar auch von Kriminellen ausgenutzt werden, um unter falschem Vorwand Buttons anzubieten, die Malware herunter laden oder gefälschte Anmeldeformulare anzeigen. Aviv Raff gibt an, Google sei über die Sicherheitslücke informiert und arbeite bereits an einer Lösung.
Die Programmierschnittstelle (API) für Googles Toolbar ermöglicht dem Betreiber einer Website einen speziellen Link anzubieten, der die Konfiguration eines neuen Buttons aus einer XML-Datei liest. Klickt ein Anwender auf einen solchen Link, wird ein Dialog angezeigt, über die Herkunft des Buttons Auskunft gibt sowie darüber, mit welcher Domain diese Schaltfläche Daten austauscht.
Durch eine spezielle Gestaltung der angegebenen URLs kann ein Angreifer erreichen, dass irreführende Informationen in diesem Dialog angezeigt werden, die über die wahre Herkunft und den Zweck des Buttons hinweg täuschen. Der Angreifer kann zum Beispiel eine Google-Weiterleitungsseite benutzen, um seine eigene URL über diesen Umweg aufzurufen, während Google als vermeintliche Download-Quelle angezeigt wird. Beispiel:
http://www.google.com/local_url?q=http://www.pcwelt.de
Im Gegensatz zur Google Toolbar für den Internet Explorer gelingt dies bei der Fassung für Firefox jedoch nicht. Allerdings ist es auch bei Firefox möglich die zweite Angabe zu fälschen, die etwas darüber aussagt, mit welcher Domain oder welchem Server der neue Button Informationen austauscht.
Aviv Raff hat auf seiner Website eine Demo bereit gestellt, die eine Schaltfläche "kritisches Update" erstellt und eine harmlose EXE-Datei herunter lädt. Eine korrigierte Version der Google Toolbar oder eine andere Lösung von Google ist noch nicht verfügbar. Daher sollten Sie der Toolbar einstweilen keine neuen Buttons hinzufügen, die Sie nicht selbst erstellt haben.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
110908
Content Management by InterRed