Defcon 2007: Widgets - Attacke durch die kleinen Helferlein

Widgets können nicht nur das Wetter anzeigen oder Nachrichten aus dem Web fischen. Sie können auch als vollwertige Angreifertools ausgenutzt werden.

„Viele Anwender und auch Programmierer sehen in Widgets nur Tools, die hübsche Bilder anzeigen sollen.“ So äußerte sich Iftach Ian Amit von der Sicherheitsfirma Finjan auf der Sicherheitskonferenz Defcon 2007 über Widgets, wie sie von Windows Vista und Mac OS X ab Werk zu finden sind. Dabei übersehen die Programmierer und die User jedoch, dass Widgets vollwertige Anwendungen sind, die sich kompromittieren lassen – oder nur zum Zweck der Datenspionage programmiert wurden.

Amit und sein Kollege Aviv Raff demonstrierten anhand zahlreicher Beispiele, wie gefährlich schlecht programmierte oder per se schädliche Widgets sein können. So zeigten sie anhand eines vermeintlichen Hotelreservierungsapplets, wie sich ein bösartiges iGoogle-Applet benutzen lässt, um den Rechner des nichtsahnenden Applet-Nutzers fernzusteuern. Bis vor wenigen Tagen war das laut Amit auch mit Microsofts Online-Dienst live.com möglich. Microsoft hat die Lücke jedoch rechtzeitig vor der Defcon geschlossen.

Nach wie vor angreifbar ist eines der vorinstallierten Widgets aus der Sidebar von Windows Vista. Da der Bug noch nicht behoben wurde, wollte Amit jedoch nicht zeigen, um welches Widget es sich handelt. Auch Yahoo ist dabei, Fehler in seinem Adressbuch-Widget zu beseitigen. Aviv Raff demonstrierte, wie ein Angreifer das Widget nutzen kann, um beliebigen Code auf dem Rechner des Opfers auszuführen.

Die Sicherheitsexperten hatten auch Ratschläge, wie sich Anwender vor solchen Attacken schützen können: Entweder komplett auf Widgets verzichten oder nur Widgets aus vertrauenswürdigen Quellen herunterladen. Yahoo hat inzwischen begonnen, Widgets digital zu signieren und so sicherzustellen, dass sich kein bösartiger Programmcode darin befindet. (Uli Ries/mja)