Terrorist
21.11.2010, 12:34
Peinliche Lücke für den Internet-Riesen: Es genügt, eine manipulierte Webseite aufzurufen, schon ist die eigene Google-Adresse ausspioniert. Man muss nur irgendwann auf dem Rechner bei einem Google-Dienst eingeloggt gewesen sein. Google beruhigt: Das Problem sei behoben.
Ausgerechnet bei Googles eigener Blogplattform Blogspot hat ein Hacker diese Sicherheitslücke demonstriert: Wer die Seite aufrief, hatte wenig später Post in seinem Google-Mail-Postfach. "Eine irgendwie wichtige Nachricht" lautete die Betreffzeile, im Nachrichtentext stand: "Hallo, bitte teilen Sie diesen Link, P.S.: Sie haben diese Nachricht erhalten, weil sie diese Seite wahrscheinlich schon besucht haben."
Technik-Blogger Michael Arrington hat das ausprobiert (http://techcrunch.com/2010/11/20/whoa-google-thats-a-pretty-big-security-hole/) und fragt wie wohl jeder Empfänger dieser Nachricht: Wie kann das sein? Arrington hatte seine persönliche Adresse nirgends eingegeben, die Webseite muss sie irgendwie beim Aufrufen abgegriffen haben. Der Schöpfer der inzwischen entfernten Seite begründet in einer Nachricht an Arrington sein Vorgehen so: "Das Problem liegt allein bei Google." Wenn die Firma sich bei ihm melde, würde er den Verantwortlichen gerne erklären, wie er die Daten abgegriffen habe, bei seinen ersten Kontaktversuchen habe bei Google niemand mit ihm reden wollen.
Google: "Wir haben das Problem schnell gelöst"
Ein Google-Sprecher erklärte nach Abschaltung der Webseite mit der Schnüffel-Demonstration gegenüber Techcrunch: "Wir haben das Problem schnell gelöst." Es habe sich um einen Fehler in einer Programmierschnittstelle gehandelt. Die Lücke habe es lediglich ermöglicht, Nutzern eines Google-Kontos beim Besuch einer präparierten Seite eine Nachricht an ihre Google-Adresse zu senden. Das sei nur möglich gewesen, solange die Betroffenen bei ihrem Google-Konto eingeloggt gewesen seien.
Diese Einschränkung wirkt wenig beruhigend, denn die meisten Nutzer eines Webmail-Dienstes wie Google Mail dürften bei dem entsprechenden Konto ständig eingeloggt sein. Helfen könnte gegen vergleichbare Lücken womöglich eine strikte Trennung zwischen einem Browser für die normale Webnutzung und einem Browser, der allein für Webmail-Anwendungen genutzt wird.
Wie schwerwiegend die demonstrierte und nun geschlossene Sicherheitslücke war, ist derzeit schwer abzuschätzen. Der Darstellung von Techcrunch zufolge konnte der Hacker wohl nur die Adresse des Kontobesitzers ausspähen - Zugriff auf andere Adressen aus dem Kontaktverzeichnis der Nutzer oder gar auf die Inhalte von Nachrichten hatte er nach dem derzeitigen Kenntnisstand nicht.
Quelle: Spiegel.de (http://spiegel.de)
Ausgerechnet bei Googles eigener Blogplattform Blogspot hat ein Hacker diese Sicherheitslücke demonstriert: Wer die Seite aufrief, hatte wenig später Post in seinem Google-Mail-Postfach. "Eine irgendwie wichtige Nachricht" lautete die Betreffzeile, im Nachrichtentext stand: "Hallo, bitte teilen Sie diesen Link, P.S.: Sie haben diese Nachricht erhalten, weil sie diese Seite wahrscheinlich schon besucht haben."
Technik-Blogger Michael Arrington hat das ausprobiert (http://techcrunch.com/2010/11/20/whoa-google-thats-a-pretty-big-security-hole/) und fragt wie wohl jeder Empfänger dieser Nachricht: Wie kann das sein? Arrington hatte seine persönliche Adresse nirgends eingegeben, die Webseite muss sie irgendwie beim Aufrufen abgegriffen haben. Der Schöpfer der inzwischen entfernten Seite begründet in einer Nachricht an Arrington sein Vorgehen so: "Das Problem liegt allein bei Google." Wenn die Firma sich bei ihm melde, würde er den Verantwortlichen gerne erklären, wie er die Daten abgegriffen habe, bei seinen ersten Kontaktversuchen habe bei Google niemand mit ihm reden wollen.
Google: "Wir haben das Problem schnell gelöst"
Ein Google-Sprecher erklärte nach Abschaltung der Webseite mit der Schnüffel-Demonstration gegenüber Techcrunch: "Wir haben das Problem schnell gelöst." Es habe sich um einen Fehler in einer Programmierschnittstelle gehandelt. Die Lücke habe es lediglich ermöglicht, Nutzern eines Google-Kontos beim Besuch einer präparierten Seite eine Nachricht an ihre Google-Adresse zu senden. Das sei nur möglich gewesen, solange die Betroffenen bei ihrem Google-Konto eingeloggt gewesen seien.
Diese Einschränkung wirkt wenig beruhigend, denn die meisten Nutzer eines Webmail-Dienstes wie Google Mail dürften bei dem entsprechenden Konto ständig eingeloggt sein. Helfen könnte gegen vergleichbare Lücken womöglich eine strikte Trennung zwischen einem Browser für die normale Webnutzung und einem Browser, der allein für Webmail-Anwendungen genutzt wird.
Wie schwerwiegend die demonstrierte und nun geschlossene Sicherheitslücke war, ist derzeit schwer abzuschätzen. Der Darstellung von Techcrunch zufolge konnte der Hacker wohl nur die Adresse des Kontobesitzers ausspähen - Zugriff auf andere Adressen aus dem Kontaktverzeichnis der Nutzer oder gar auf die Inhalte von Nachrichten hatte er nach dem derzeitigen Kenntnisstand nicht.
Quelle: Spiegel.de (http://spiegel.de)