Google Mail

Google Mail: Sicherheitslücke erlaubt Mail-Diebstahl

Der Sicherheitsexperte Petko Petkov warnt vor einer schwerwiegenden Sicherheitslücke in Google Mail. Angreifer könnten darüber Mails abfangen, ohne dass dies vom Mailkonto-Inhaber bemerkt werden würde.

Viele Anwender sind von stationären auf webbasierte Mail-Dienste umgestiegen. Die in diesen Accounts gespeicherten Daten sind mitunter sensibel und nicht für jedermann bestimmt (Passwörter, persönliche Informationen, etc.). Nutzer von Google Mail sollten sich derzeit vorsehen, denn der Sicherheitsexperte Petko Petkov berichtet von einer Zero-Day-Lücke, die das unbemerkte Abfangen von Mails aus Google Mail ermöglicht.

Laut Petkov könnten Angreifer die Filterfunktion von Google Mail ausnutzen. Für einen erfolgreichen Angriff müsste ein Google-Mail-Nutzer eine speziell präparierte Website besuchen, während er noch bei Google Mail eingeloggt ist. Danach führt die Website einen "multipart/form-date POST" aus - einen HTML-Befehl, der dazu genutzt werden kann, Dateien hoch zu laden - die sich an eine Google Mail API richtet und injiziert einen bösartigen Filter in die Filter-Liste des Google-Mail-Nutzers.

Laut Petkov könnte ein Angreifer beispielsweise einen Filter erstellen, der schlicht auf Mails mit Anhang ausgerichtet ist. Wird der Filter fündig, würden die betreffenden Mails einfach an ein Mailkonto des Angreifers weitergeleitet. Selbst ein Patch gegen diese Sicherheitslücke würde nach einer Übernahme eines Google-Mail-Accounts nichts nützen, warnt Petkov. "Bedenken Sie, dass auch in der Zukunft alle eingehenden Mails weitergeleitet werden. Der Angriff bleibt aktiv, so lange das Opfer den bösartigen Filter in seiner Filterliste hat, selbst wenn der Grund für die Infektion seitens Google behoben wurde."

In einer Antwort auf Petkovs Posting zu der Sicherheitslücke erklärte Giorgio Maone, der Entwickler der populären Firefox-Erweiterung Noscript, dass Firefox (mit Noscript ausgestattet) immun gegen eine solche Attacke sei, da es so genannte "cross-site request forgery"-Angriffe blockiere.

Jeremy Grossman, CTO bei Whitehat Security, erklärte, dass die Google-Mail-Lücke "ausgesprochen gruselig" sei. Grossman weiter: "Webmail-Accounts sind in vielerlei Hinsicht wertvoller, als Banking-Accounts, da sie Zugang zu weitaus mehr Online-Diensten ermöglichen können (Banking, Blog, Shopping, etc.). Angriffe, die diese Sicherheitslücke ausnutzen, wären einfach, unsichtbar und extrem clever."

Petkovs Fazit zu der Lücke: "In einer Zeit, in der sämtliche Daten im Internet sind, macht es für Angreifer keinen Sinn mehr, nach Ihrem PC zu trachten. Es ist wesentlich einfacher, eine dieser dauerhaften Backdoor/Spyware-Filter zu installieren. Game over! Sie verfügen nicht über Ihren PC, aber sie haben Sie dennoch, was umso besser ist." (PC-Welt/mja)