Offen für Phishing-Attacken

Sicherheitslücke in Google Toolbar

Eine Designschwäche in der Google Toolbar ist dafür verantwortlich, dass Malware-Verbreiter und Phisher dazu in der Lage sind Anwender zu täuschen und Malware einzuschleusen. Dies ist möglich, indem sie unter falscher Flagge zusätzliche Toolbar-Buttons anbieten.

Eine Funktion der Google Toolbar für den Internet Explorer und Firefox ermöglicht es Schaltflächen hinzuzufügen. Websites können solche Buttons anbieten, um zusätzliche Funktionen in der Toolbar zu verankern, etwa eine Suchfunktion für die jeweilige Website. Wie der Sicherheitsforscher Aviv Raff in seinem Blog berichtet, kann diese Erweiterbarkeit der Google Toolbar auch von Kriminellen ausgenutzt werden. Diese bieten unter falschem Vorwand Buttons an, die Malware herunter laden oder gefälschte Anmeldeformulare anzeigen. Laut Aviv Raff sei Google über die Sicherheitslücke informiert und arbeite bereits an einer Lösung.

Die Programmierschnittstelle (API) für Googles Toolbar ermöglicht dem Betreiber einer Website einen speziellen Link anzubieten, der die Konfiguration eines neuen Buttons aus einer XML-Datei liest. Klickt ein Anwender auf einen solchen Link, wird ein Dialog angezeigt, über die Herkunft des Buttons Auskunft gibt sowie darüber, mit welcher Domain diese Schaltfläche Daten austauscht.

Durch eine spezielle Gestaltung der angegebenen URLs kann ein Angreifer erreichen, dass irreführende Informationen in diesem Dialog angezeigt werden, die über die wahre Herkunft und den Zweck des Buttons hinweg täuschen. Der Angreifer kann zum Beispiel eine Google-Weiterleitungsseite benutzen, um seine eigene URL über diesen Umweg aufzurufen, während Google als vermeintliche Download-Quelle angezeigt wird. Beispiel:

http://www.google.com/local_url?q=http://www.pcwelt.de

Im Gegensatz zur Google Toolbar für den Internet Explorer gelingt dies bei der Fassung für Firefox jedoch nicht. Allerdings ist es auch bei Firefox möglich die zweite Angabe zu fälschen, die etwas darüber aussagt, mit welcher Domain oder welchem Server der neue Button Informationen austauscht.

Aviv Raff hat auf seiner Website eine Demo bereit gestellt, die eine Schaltfläche "kritisches Update" erstellt und eine harmlose EXE-Datei herunter lädt. Eine korrigierte Version der Google Toolbar oder eine andere Lösung von Google ist noch nicht verfügbar. Daher sollten Sie der Toolbar einstweilen keine neuen Buttons hinzufügen, die Sie nicht selbst erstellt haben. (PC-Welt/zum)