IT-Sicherheitsforscher Petko D. Petkov hat in seinem Blog auf eine angeblich kritische Sicherheitslücke in Googles Webmailer Google Mail (in USA: Gmail) hingewiesen. In dem Eintrag beschreibt der Experte, wie sich die so genannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ausnutzen lässt.
Ein auf seinem Proof of Concept (PoC) basierender Schädling könne alle Daten wie ankommende E-Mails oder Kontakte von einem Google-Mail-Konto stehlen, ohne dass der Nutzer etwas davon mitbekomme, so Petkov. Daher wolle er keinen Beweis-Codes veröffentlichen, solange Google die Lücke nicht geschlossen habe.
Durch das Sicherheitsleck ist ein Angreifer in der Lage, beispielsweise über einen manipulierten Link, den Session-Cookie eines Nutzers zu übernehmen, während dieser bei Google Mail angemeldet ist.
„Wenn jemand diese Lücke ausnutzt, bevor sie von Google geschlossen wird, oder wenn jemand zuvor davon gewusst hätte, könnte dadurch sehr viel Schaden für Google-Mail-Anwender entstehen“, sagte Chris Gatford, Sicherheitsforscher bei Pure Hacking. Nach Einschätzung von Gatford wird die Schwachstelle durch Googles neue Datenschutzrichtlinie begünstigt, die eine Lebensdauer von zwei Jahren für Cookies vorsieht. „Sobald es einmal gelungen ist, einen Cookie zu stehlen, hat man für zwei Jahre Zugang zum Google-Mail-Konto des eigentlichen Inhabers“, erklärt Gatford.
Obwohl Google Mail in erster Linie von Privatleuten genutzt wird, könnten auch Unternehmen von diesem Problem betroffen sein. James Tuner, Security-Analyst bei IBRS berichtet in diesem Zusammenhang von der gängigen Praxis, Firmen-Mails an private E-Mail-Konten weiterzuleiten.
Ein Workaround für das Sicherheitsleck ist die Nutzung von Google Mail mit dem Firefox-Browser bei gleichzeitig deaktiviertem Javascript. Google selbst hat sich zu der Schwachstelle bisher nicht geäußert.
Neueste Kommentare
1 Kommentar zu Kritische Sicherheitslücke in Google Mail entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Geschlossen
Mitterweile ist die Lücke geschlossen. Siehe im GWB. (http://www.googlewatchblog.de/2007/09/28/sicherheitsluecke-in-gmail-geschlossen,-kein-schaden-entstanden/)