Was es mit der Sicherheitslücke von Google Translate auf sich hat

Google Translate soll eine gefährliche Sicherheitslücke haben. Das meint jedenfalls Yegor Kuznetsov von IceWarp heute in einer Pressemitteilung.

Das Unternehmen nutzt die Bezahlvariante von Google Translate, um Inhalte seiner Business-Chat-Lösung LiveWebAssist in fremde Sprachen zu übersetzen. Nun will IceWarp herausgefunden haben, dass jedermann den Google-Translate-Key stehlen kann. Damit lassen sich die Übersetzungsdienste nutzen und die Kosten werden IceWarp belastet.

Doch bei genauem Hinsehen sieht die Sache anders aus: Als Voraussetzung für den Diebstahl muss der rechtmäßige Inhaber seinen Key im Klartext in eine öffentlich herunterladbare Javascript-Datei schreiben.

Da braucht man sich natürlich nicht mehr wundern: Wenn ich Keys, Benutzernamen, Passwörter, PINs, TANs und andere Authentifizierungsparameter in eine Datei schreibe und ins Web stelle, dann werde ich vermutlich in Kürze bestohlen. Man fragt sich, worüber sich Kuznetsov eigentlich aufregt.

Allerdings weist er zurecht darauf hin, dass Google das Einfügen des Keys in eine Javascript-Datei in seiner Dokumentation für Google Translate explizit als Beispiel anführt.

Da haben sich sicher beide Unternehmen nicht mit Ruhm bekleckert. Google zeigt ein Beispiel, bei dem der Diebstahl schon vorprogrammiert ist und IceWarp hätte es beinahe genau so implementiert. Zum Glück ist Kuznetsov noch eingefallen, wie man das Problem lösen kann. Er veranlasst die Übersetzung nun serverseitig aus einem PHP-Skript heraus, das dem Endbenutzer nicht übermittelt wird.

Und ganz Unrecht hat er mit seiner Kritik nicht. Es dürfte sicher zahlreiche Kunden von Google geben, die naiv genug sind, den Beispielcode auf ihre Websites zu kopieren, ohne über die Sicherheitsprobleme nachzudenken.