Angriffe via WiFi möglich

SSL-Googlemail weniger sicher, als Anwender glauben

Sicherheitsexperten haben gezeigt, dass man Googlemail-Konten ohne Passwörter ausspionieren kann.

Auf der DefCon-Konferenz im Jahre 2007 demonstrierten Sicherheitsexperten das Eindringen in Hotmail- oder Googlemail-Konten ohne Passwörter. Dazu spionierten sie das Session-Cookie des Anwenders aus. Die Voraussetzung dafür ist eine drahtlose Verbindung. Nun fand der Entdecker dieser Schwachstelle, Robert Graham von Errata Security, heraus, dass auch SSL-HTTPS-Zugriff nicht vor einem Angriff schützt.

Es gelang ihm angeblich, ein Session-Cookie zu ergaunern, selbst wenn der Anwender verschlüsselt auf sein Mail-Konto zugreift. Theoretisch sollte die HTTPS-Version von Googlemail vor einem solchen Angriff schützen. In seinem Blog beschreibt er allerdings, dass dem nicht so ist. Der JavaScript-Code benutze ein XMLHttpRequest-Objekt, um HTTP-Anfragen im Hintergrund auszuführen. Diese seien ebenso mit SSL verschlüsselt. Sollte SSL jedoch nicht funktionieren, würden diese unverschlüsselt übertragen. Bei einigen WiFi-Hotspots würde man gezwungen, deren Lizenzbedingungen zu akzeptieren und diese würden SSL blockieren. Somit schalte Googlemail auf eine Nicht-SSL-Verbindung um, die jedoch nicht funktioniere. Die Cookie-Informationen gebe der Browser vorher aber noch weiter. Dies ließe sich für Sidejack-Angriffe ausnutzen. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner