computerwoche.de

Archiv

Google Gadgets öffnen Angreifern die Türen

11.08.2008
Die Miniprogramme des Internet-Unternehmens lassen sich für eine Vielzahl von Hacker-Attacken missbrauchen.

Wie Forscher auf der US-Sicherheitskonferenz Black Hat demonstrierten, ermöglichen Google Gadgets ein breites Spektrum an Attacken: "Angreifer können Google Gadgets gegen den Willen des Nutzers installieren, sich unter bestimmten Umständen Einblick in die Suchhistorie ihrer Opfer verschaffen, andere Google Gadgets angreifen und via Phishing Benutzernamen und Passwörter von Anwendern abgreifen - und so fort", nannte Robert Hansen alias "RSnake", Mitgründer des auf Security spezialisierten Beratungshauses SecTheory, in seiner Präsentation nur einige Missbrauchsszenarien. Habe ein Angreifer den Browser erst einmal unter Kontrolle, seien seine Möglichkeiten schier grenzenlos. Verschärft werde die Bedrohung durch das Anwendervertrauen in Google als verlässliche Domain.

Am verwundbarsten sind dem Experten zufolge Nutzer von Gmail, da der Web-basierende E-Mail-Dienst das Login des Nutzers erfordert. Anwender könnten durch einen Trick dazu gebracht werden, ihre iGoogle-Homepage um manipulierte Google-Module zu ergänzen. "Diese Nutzer verwenden meist Javascript und gängige Web-Browser, was sie anfällig für viele Angriffsgattungen macht", so Hansen. Sein Kollege Tom Stracener, Senior Security Analyst bei Cenzic, fasst die Bedrohung zusammen:

  • Gadgets können andere Gadges angreifen: Bei diesen Attacken werden Cookies oder vertrauliche Gadget- beziehungsweise Nutzerdaten gestohlen.

  • Gadgets können den Nutzer attackieren: Das Angriffsspektrum erstreckt sich von Online-Identitätsdiebstahl (Phishing) bis hin zu Cross-Site-Request-Forgery. Hierbei folgt der Nutzer entweder einem Link, oder er klickt auf ein Formular und veranlasst damit unwissentlich eine Aktion auf einer Fremdseite.

  • Gadgets können automatisch hinzugefügt werden: Eine bösartige Web-Seite kann der iGoogle-Homepage des Nutzers ohne dessen Wissen ein Gadget unterjubeln und so zur Verbreitung Gadget-basierender Malware beitragen.

  • Login bei einem anderen Google-Account: Ein Gadget kann einen Nutzer bei einem anderen Google-Account anmelden und dann seine Suchanfragen überwachen.

(kf)