Google stopft Sicherheitslücke in Google Mail

Google hat eine Ende letzter Woche über die israelische Webseite "Nana NetLife" bekannt gewordene Sicherheitslücke in Google Mail anscheinend gefixt. Die Lücke erlaubte Angreifern, ohne Benutzernamen und Kennwort auf Google Mail-Accounts zuzugreifen.

Nach Aussagen von Google-Sprecher Nathan Tyler gab es eine Sicherheitslücke, die den Google Mail-Service betraf. Nun sei diese Lücke jedoch geschlossen worden und alle derzeitigen und zukünftigen Anwender seien vor Angriffen sicher, so Tyler weiter.

Auch wenn Google bis dato noch keine detaillierten Angaben zu dem Problem gemacht hat, ist bekannt, dass Angreifer die komplette Kontrolle über die Google Mail-Zugänge von Anwendern erlangen konnten. Laut "Nana NetLife" lag das Problem in der User-Authentifizierung von Google Mail.

Wenn ein Angreifer zum Beispiel über Crosssite-Scripting in den Besitz des Google Mail-User-Cookies gelangte, kam dies einem Freizugang zu dessen Google Mail-Account gleich - egal von welchem Rechner der Angreifer sich eingeloggt hat. Benutzernamen und Passwort für den vollen Zugriff auf Google Mail brauchte der Angreifer nicht einzugeben, wenn er im Besitz des Cookies war. Der auf "Nana NetLife" zitierte israelische Hacker Nir Goldshlagger hat zudem herausgefunden, dass selbst ein geändertes Passwort seitens der User nichts an den vollen Zugriffsmöglichkeiten seitens der Hacker beeinflusst habe.

Auch wenn Google Mail sich noch in der Beta-Phase befindet, nutzen anscheinend schon zahlreiche User diesen Dienst. Anmelden kann man sich für Google Mail derzeit jedoch nur, wenn man von einem bestehenden Mitglied eingeladen wird. Offizielle Zahlen über die Anzahl der Google Mail-User gibt es von Google derzeit noch nicht. Laut Aussage von Google wurden jedoch auch nur eine Hand voll Anwender auch tatsächlich Opfer eines Angriffs. (ssp/fkh)