Nach Angriff auf Behörden: Google bestreitet Schwachstelle in eingebetteter Suche

Google weist Vorwürfe zurück, eine Schwachstelle in seiner Custom Search Engine sei für das Umlenken zweier Websites von Regierungsbehörden in Singapur genutzt worden. Hacker hatten Besucher der Webauftritte des Premierministers wie des Staatspräsidenten von Singapur auf Nachbauten dieser Sites gelenkt. Besucher bekamen dadurch den Eindruck, die Sites selbst seien gehackt worden.

Die für die Regulierung von ITK zuständige Behörde Infocomm Development Authority (IDA) machte lokalen Medien zufolge für den Redirect die in die Seiten eingebettete Google-Suche verantwortlich. Die Angreifer hätten diesen Fehler zwar ausnutzen können, doch innerhalb von 15 bis 20 Minuten habe man das Problem entdeckt und abgeschaltet.

Google weist diese Vorwürfe jetzt in einer E-Mail an ZDNet.com zurück: „Nach unseren Nachforschungen scheint es so, dass der Code der Google-Such-Engine sicher ist und die Schwachstelle im Code der betroffenen Webseite liegt.“

Das IDA will die laufende Untersuchung derzeit nicht weiter kommentieren, lässt aber durchblicken, dass der Sprecher der Regulierungsbehörde in den Medien falsch zitiert wurde. Er hatte offenbar auf einen Fehler der Suchfunktion – und nicht in Googles Suchleiste – hinweisen wollen. Für die Validierung eingegebener Suchdaten ist nämlich der Websitebetreiber zuständig, und eine solche Validierung scheint den Behördenseiten gefehlt zu haben.

So konnten die Angreifer offenbar mit Cross-Site Scripting (XSS) Code einschleusen, der Besucher auf die von ihnen eingerichteten Nachbauten weiterlenkte. Wer die beiden Websites entwickelt hat und ob es sich um interne Mitarbeiter oder einen externen Dienstleister handelte, wollte die IDA nicht sagen. Die Polizei in Singapur verhört derzeit fünf Verdächtige.

[mit Material von Eileen Yu, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.