News 27.09.2007, 11:06 Uhr

Gefährliche Lücke in Google Mail

Der Webmaildienst von Google weist eine gefährliche Sicherheitslücke auf. Sie könnte unter anderem dazu benützt werden, Mails automatisch weiterzuleiten.
Wie Petko Petkov auf dem Gnucitizen-Blog erklärt, weist Google Mail eine problematische Sicherheitslücke auf. Ist man im Maildienst eingeloggt und besucht gleichzeitig eine andere Webseite, so kann diese mit einem entsprechenden Aufruf eigene Filter in den Maildienst einfügen. Beispielsweise lässt sich ein Filter definieren, der alle Mails an eine bestimmte E-Mail-Adresse weiterleitet.
Die Lücke ist aus zwei Gründen besonders gefährlich: Erstens geschieht die Manipulation an sich sehr unauffällig, und zweitens bemerkt der Benutzer auch danach sehr wahrscheinlich nicht sofort, dass etwas nicht stimmt. Dazu müsste er die Filtereinstellungen überprüfen, was man ja nicht alle Tage tut.
Diese Betrugstechnik wird als Cross Site Request Forgery (CSRF) oder als Session Riding bezeichnet. Eine fremde Webseite erhält dabei Zugriff auf ein Benutzerkonto, das in einer anderen Webseite geöffnet ist.
Artikel drucken
Autor(in) David Lee
Kommentare
Avatar
Adriano
28.09.2007
Da gibt es ein gute Möglichkeit um dieses Leck zu umschiffen. Man fragt das Emailkonto über einen Email-Client wie Thunderbird ab. Und schon ist das Problem gelöst. Ich habe eine bessere Idee, den PC nicht einschalten!
Avatar
Dragonlord
28.09.2007
PC? Dann habe ich aber keinen KOntakt nach aussen und das wäre schade. :)
Avatar
Michel.Eichelberger
28.09.2007
Ich habe eine bessere Idee, den PC nicht einschalten! Wozu kauft man sich denn einen PC???
Avatar
Adriano
28.09.2007
Wozu kauft man sich denn einen PC??? Ich hab es mir gekauft, dass die Viren schneller im Umlauf gebracht werden. Ich hab auch mal klein angefangen (Swisscom), jetzt bin ich gross geworden (bin zu Cablecom) und kann diese Viren schön und schnell über das Netzt verbreiten :P
Avatar
Dragonlord
01.10.2007
Leck gestopft Nach rund einer Woche wurde das Leck gestopft. Bravo Google. lg Roger
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.