Den beiden Sicherheitsforschern zufolge eröffnen Google Gadgets ein breites Spektrum an Attacken: "Angreifer können Google Gadgets gegen den Willen des Nutzers installieren, sich unter bestimmten Umständen Einblick in die Suchhistorie ihrer Opfer verschaffen, andere Google Gadgets angreifen und via Phishing Benutzernamen und Passwörter von Anwendern abgreifen - und so fort", nannte Robert Hansen alias "RSnake", Mitgründer des auf Security spezialisierten Beratungshauses SecTheory, in sein Black-Hat-Präsentation nur einige Missbrauchsszenarien. Habe ein Angreifer den Browser erst einmal unter Kontrolle, seien dessen Möglichkeiten schier grenzenlos. Verschärft werde die Bedrohung zudem durch das Anwendervertrauen in Google als verlässliche Domain. "Das macht Angriffe noch einfacher", warnt Hansen.
Am verwundbarsten sind dem Experten zufolge Nutzer von Google - speziell Gmail, da der Web-basierende E-Mail-Dienst das Login des Nutzers erfordert. Anwender könnten durch einen Trick dazu gebracht werden, ihre personalisierte iGoogle-Homepage um manipulierte Google-Module zu ergänzen. "Diese Nutzer verwenden meist JavaScript und gängige Web-Browser, was sie anfällig für eine Vielzahl von Angriffsgattungen macht", so der Experte. Sein Kollege Tom Stracener, Senior Security Analyst bei Cenzic, einem Spezialisten für Web Application Security (WAS), fasst die Bedrohung folgendermaßen zusammen:
Gadgets können andere Gadges angreifen: Bei diesen Attacken werden Cookies oder vertrauliche Gadget- beziehungsweise Nutzerdaten gestohlen.
Gadgets können den Nutzer attackieren: Das Angriffsspektrum erstreckt sich von Online-Identitätsdiebstahl (Phishing) bis hin zu Cross-Site-Request-Forgery. Hierbei folgt der Nutzer entweder einem Link oder er klickt auf ein Formular und veranlasst damit unwissentlich eine Aktion auf einer Fremdseite.
Gadgets können automatisch hinzugefügt werden: Eine bösartige Web-Seite kann der iGoogle-Homepage des Nutzers ohne dessen Wissen ein Gadget unterjubeln und so zur Verbreitung Gadget-basierender Malware beitragen.
Login bei einem anderen Google-Account: Ein Gadget kann einen Nutzer bei einem anderen Google-Account anmelden und dann seine Suchanfragen überwachen.
Derzeit seien die Auswirkungen von Gadget-Malware auf Business-User noch minimal, meint Stracener. Mit zunehmendem Einsatz von Google Gadgets im Firmenbereich werden aber auch die Risiken für Geschäftsanwender steigen, warnt der Sicherheitsforscher.
