Schwere Sicherheitslücke bei GMail legte Adressbücher offen

1. Februar 2007, 12:16
6 Postings

Per Javascript konnten die Kontakte von Webseiten-BesucherInnen kinderleicht ausgelesen werden

Mit einer äußerst unangenehmen Sicherheitslücke hat das Jahr für das Softwareunternehmen Google begonnen: Die Adressbücher von GMail-BenutzerInnen konnten bis vor kurzem kinderleicht von Dritten ausgelesen werden.

Ausnutzen

Da Google die GMail-Adressliste in Javascript-Form ablegt, reichte es den entsprechenden Code auf einer Webpage abzulegen, um die Kontakte der eigenen BesucherInnen auszuspionieren. Bereits wenige Stunden nach der Bekanntmachung des Exploits hat Google aber bereits reagiert, zumindest lässt sich die Lücke über den bisher bekannten Weg nicht mehr ausnutzen.

Offene Fragen

Trotzdem muss sich das Unternehmen die eine oder andere unangenehme Frage gefallen lassen. So hatte der Sicherheitsexperte Jeremiah Grossman bereits vor rund einem Jahr ein ähnliches Problem berichtet, und prinzipiell vor der Verwendung von Javascript zur Einbettung solch sensibler Daten gewarnt - eine Warnung, die offenbar ungehört verhallt ist. (red)

Link

GMail

  • Bild nicht mehr verfügbar
Share if you care.