Google Sicherheitsleck ermöglicht Account Diebstahl

Sie befinden sich hier:
»
»
Google Sicherheitsleck ermöglicht Account Diebstahl
16. Januar 2007 | 6.770 klicks

Ein Google Sicherheitsleck beunruhigt momentan die Netzgemeinschaft. Tony Ruscoe berichtet im Google Blogoscoped Blog über eine entdeckte Sicherheitslücke bei Google. Durch diese Sicherheitslücke ist es einem Angreifer möglich in fremde Accounts einzudringen.

Wie schon beim Phising von Bankdaten, wird das Opfer auf eine speziell erstellte und Google sehr ähnlich aussehende Seite gelockt, welche es dem Angreifer ermöglicht dessen bei Google Docs & Spreadsheets hinterlegten Dokumente einzusehen und diese zu verändern. Ebenso ist es dem Angreifer möglich, auf die eventuell vorhandene personalisierbare Google Homepage des Opfers zuzugreifen oder dessen Google-Accounts-Seite zu sehen, sowie das private Google Notebook lesen.

Nicht möglich ist es den Account vollständig zu hacken oder das Passwort zu erspähen oder auszulesen, ebenso ist kein Zugriff auf GMail möglich. Möglich geworden ist der Hack erst durch das neue Google Feature Costum Domains, welche Blogger.com Benutzer ermöglicht, ihre Blogs unter einem anderen Domain-Namen erreichbar zu machen. Letzteres ist über ein DNS-Interface möglich, welches gleiche Funktionalität besitzt, wie bei bekannten Domain- und Internetprovidern.

Leider konnte man nicht nur die eigene Domain als Ziel der DNS-Weiterleitung angeben, sondern ungeprüft einen beliebigen Domain-Namen angeben, ungeachtet dessen ob man der Eigentümer der Domain ist oder nicht. Ruscoe fand auch eine Google-Subdomain, unter der er auf diese Weise ein Blog ins Netz stellen konnte und auf diesem mittels einfachen JavaScript, Google-Cookie der Besuchern auslesen. Laut Aussage von Google und von Ruscoe, ist das Problem bereits behoben und Google hat bei der Nutzung der DNS-Weiterleitungsfunktion von Blogger Custom Domains, eigene Google-Domains als Ziel der Weiterleitung ausgeschlossen.

Kommentarfunktion ist deaktiviert