Zugriff trotz entzogener Rechte

Sicherheitslücken in Google Docs entdeckt

30.03.2009
Von pte pte
Nach dem Bericht eines Analysten über "Google Docs", ein Online-Tool zum Teilen und gemeinsamen Bearbeiten von Dokumenten, wird derzeit eine Diskussion über die Sicherheit des Angebots geführt.

Google hat öffentlich auf die vorgeworfenen Sicherheitslücken reagiert und versucht, die Benutzer der Kollaborationsplattform zu beruhigen, berichtet IDG New Service. Die im deutschen Sprachraum "Google Text & Tabellen" genannte Plattform wird dazu verwendet, um Dokumente hochzuladen und gemeinsam mit anderen zu bearbeiten. Dabei kann man außerdem den Entstehungsprozess eines Dokuments im Auge behalten, da man auch immer noch auf frühere Versionen zugreifen kann. Der Bericht des Analysten Ade Barkah von BlueWax, einer Beratung für Unternehmenssoftware, zeigt drei Schwachstellen auf, die es nicht autorisierten Personen ermöglichen, auf Informationen innerhalb von Google Docs zuzugreifen.

Eines der gefundenen Probleme betrifft die Möglichkeit, dass jemand, dem die Zugriffberechtigung für ein Dokument entzogen wurde, weiterhin auf dieses zugreifen kann, ohne dass der Autor des Dokuments davon erfährt. Genauere Informationen hat der Analyst dazu noch nicht veröffentlicht, um Google Zeit zu geben, das Problem zu beheben. Eine weitere Lücke betrifft Fotos und Grafiken, die in Dokumente eingebunden werden können. Diese erhalten ihre eigene URL, wodurch auch noch Zugriff auf sie besteht, wenn das eigentliche Dokument bereits gelöscht wurde. Eine Person, der einmal Zugang zum Dokument gewährt wurde, kann durch die bekannte Bild-URL daher auch nach Entzug der Zugriffsrechte direkt auf die Bilder zugreifen. Die letzte Schwachstelle betrifft Diagramme innerhalb eines Dokuments. Jemand, mit dem das Dokument geteilt wird, kann über eine Modifikation der Bild-URL alle vorherigen Versionen des Diagramms abrufen.

Zum Letzteren meint Google Docs Produktmanager Jonathan Rochelle dass es gewollt sei, dass die Revisionsgeschichte eines Dokuments auch für Externe mit Zugriffsrechten sichtbar sei. Das könne vermieden werden, indem das Dokument unter neuem Namen abgespeichert würde. Rochelle hat nur einen Tag nach der Veröffentlichung des Berichts in seinem offiziellen Blog zu den Vorwürfen Stellung genommen. Er beurteilt die gefundenen Schwachstellen darin nicht als kritisch. In seinem Eintrag gibt sich Rochelle jedoch trotzdem dankbar für den Bericht des Analysten: "Wir untersuchen alternative Design-Optionen, die möglicherweise diese Bedenken auflösen können. Wir möchten dem Forscher dafür danken, dass er seine Ergebnisse mit uns geteilt hat." Auch Barkah ist auf Google gut zu sprechen: "Ich schätze das exzellente Feedback, das ich von Google Security bekomme. Ich werde meine neuersten Erkenntnisse weiterhin mit ihnen teilen und werde mehr dazu sagen können, sobald unsere Analyse komplett ist." Derzeit untersuche Barkah gerade neue Details und weitere Szenarios. (pte)