Black Hat 2008: Google Gadgets helfen spionieren

In der letzten Woche hat in Las Vegas die Sicherheitskonferenz Black Hat stattgefunden. Einer der Vortragenden, Robert Hansen, hat mit seiner Präsentation gezeigt, dass ein Angreifer Schwachstellen in den Google-Diensten nutzen kann, um angemeldete Benutzer auszuspionieren. Hansen, Gründer der Sicherheitsfirma SecTheory, ist auch unter seinem Hacker-Namen "RSnake" bekannt.

Nutzer der Google-Dienste können ihre so genannte "iGoogle"-Seite mit allerlei Gadgets aufpeppen, die Google anbietet. Das sind kleine Programme wie zum Beispiel Terminkalender, To-Do-Listen, Wetterberichte oder News-Feeds. Angreifer könnte solche Programme anbieten, die mit Spionagefunktionen ausgestattet sind.

Robert Hansen und Tom Stracener haben gezeigt, dass es mit solchen manipulierten Gadgets möglich ist, andere Gadgets anzugreifen, Cookies zu stehlen und persönliche Daten auszuspionieren. Man müsse einen etwa bei Google Mail angemeldeten Benutzer nur dazu bringen, ein solches Gadget zu installieren. Eine entsprechend präparierte Website, die ein Benutzer in einem zweiten Browser-Fenster besucht, während er bei Google angemeldet ist, könnte sogar ein Gadget installieren, ohne dass der Benutzer dies bemerkt. Dazu könnte eine Mail mit einem entsprechenden Link dienen, die er in seinem Postfach bei Google Mail vorfindet.

Hansen gibt an, er weise Google schon seit Jahren auf diese Schwachstellen hin, Google unternehme jedoch nichts dagegen. Google wiederum meint dazu, man überprüfe die Gadgets auf schädlichen Code, würde jedoch selten fündig und entferne solche Gadgets gegebenenfalls. (PC-Welt/mja)