OpenSocial: Schlampige Implementationen öffnen bereits jetzt massive Sicherheitslücken

Mit OpenSocial soll es laut Google möglich werden, ein und dieselbe Anwendung in unterschiedlichen Netzwerken einzusetzen, soweit diese OpenSocial unterstützen. Dazu gehören unter anderem die Netzwerke Orkut, LinkedIn und Xing.

Allerdings melden Hacker bereits die ersten Schwachstellen. So schreibt das Blog TechCrunch bereits von zwei erfolgreichen Hacks, die nur mittels der OpenSocial-Schnittstelle möglich wurden. Das ist insofern dramatisch, da der Hacker im zweiten Anlauf sämtliche Kontakte einer Person auslesen und speichern konnte.

Anscheinend, so schreibt Michael Arrington von TecCrunch, habe man es so eilig gehabt, die Schnittstelle einzubauen, dass Sicherheitsbedenken keine Rolle gespielt haben. Details zu den beiden Schwachstellen hat der Hacker HarmonyGuy in seinem Blog online gestellt. Update: HarmonyGuy liefert in seinem Blog mehr Details zum zweiten Hack. Darin stellt er fest, dass die Sicherheitslücken anscheinend weniger duch die Technologie von OpenSocial selbst als vielmehr durch den schlampigen Einbau in die Drittseiten auftreten. So seien unter anderem die Berechtigungen meist zu freizügig gesetzt. (mja)