Personalisierbare Seiten wie iGoogle.com gelten als besonders praktische und coole Errungenschaft des sogenannten Web 2.0. User können eigene Seiten mit Tools wie Kalendern, Notizzetteln, Foto- und News-Feeds und mehr anlegen. Wie Sicherheitsexperten nun jedoch warnen, wurde die Sicherheit der Gadgets bislang sträflich vernachlässigt. "Google ist und wir immer angreifbar sein", erklärte secTheory-Geschäftsführer Robert Hansen in einem Vortrag auf der Sicherheits-Konferenz Defcon.

Ungetestete Google Gadgets

Hansen kritisierte die Praxis von Google, ungetestete Applikationen von Drittanbietern freizugeben, die von den Usern in ihren personalisierten Google-Homepages integriert werden können. Über diese Programme seien verschiedene Angriffsszenarien möglich.

Verschiedene Angriffsszenarien

Über iGoogle.com seit laut Hansen unter anderem Phishing ermöglichen. User könnten auf die Website eines Hackers umgeleitet werden, wenn sie sich auf ihrer persönlichen Seite anmelden. Zudem könnten über diverse Applikationen Port-Scans und Änderungen in den Browser-Einstellungen wie etwa die Adresse des DNS-Servers durchgeführt werden.

Derzeit noch kaum Angriffe

Die Anwendungen würden vor allem von Usern ohne viel technischem oder Sicherheits-Know-how genutzt. Derzeit seien nur wenige tatsächliche Attacken über Google Gadgets zu beobachten.  Das könne sich jedoch bald ändern, sobald finanzielle Anreize für die Hacker ins Spiel kämen. Gegenüber der AP erklärte Google, dass die Gadgets regelmäßig nach schädlichem Code durchsucht würden. In den "seltenen Fällen", in denen die Suchmaschinenbetreiber fündig werden, würden die schädlichen Anwendungen sofort entfernt. Nach eigenen Angaben habe Hansen selbst schädliche Gadgets als proof-of-concept über Google gehostet, die allerdings nicht entfernt worden seien. (red)