Gefälschte Login-Seite auf dem google.com-Server

Google
Eine ebenso interessante wie erschreckende Sicherheitslücke ist jetzt auf dem Google-Server aufgetaucht. Unter der Adresse google.com/u/gplus befand sich bis vor wenigen Stunden eine Login-Page für das neue Google Mail Plus – vermeintlicherweise. Google Mail Plus existiert nicht, die Login Page leitet auf eine externe Webseite weiter die die Login-Daten anzeigt und zeigt so sehr eindrucksvoll wie einfach man an User-Daten kommen kann. Tja, aber wie funktioniert das ganze nun?

Google Mail Plus

Zu aller erst: Die Login-Seite liegt tatsächlich auf dem Google-Server, es wird keine Weiterleitung oder ähnliches vorgenommen.

Die Seite wurde mit Google Public Service Search erstellt, welche es erlaubt das Aussehen der Suchergebnisse ganz individuell an die eigene Webseite anzupassen. Dies war ursprünglich für Universitäten und Organisationen gedacht, hat aber auch alle anderen User aufgenommen. Dieses Angebot stammt noch aus der Zeit als Google eine reine Suchmaschine war und der Google Account nicht existierte.

Das Problem liegt jetzt an der Anpassbarkeit dieser Suchergebnisse. Es können Header- und Footer-Code komplett frei geändert werden. Dies hat sich diese Seite zu Nutze gemacht und via JavaScript nach und nach die komplette Google-Suche entfernt und durch den eigenen Inhalt – eben jene Loginseite – ersetzt. Das gefährliche ist nun, dass diese Seite – da sie auf google.com liegt – auch Zugriff auf die Cookies hat, und somit, selbst ohne die Login-Daten des Users, den Google Account entführen und sich zu nutze machen könnte.

Google hat das Problem mittlerweile erkannt, die Seite deaktiviert und das gesamte Public Service Search gleich mit heruntergefahren. Neue Registrierungen werden derzeit nicht angenommen und auch bestehen User können sich derzeit wieder einloggen noch Templates verändern. Die Suchfunktionalität ist aber weiterhin komplett gegeben.


Tja, da muss Google aber wirklich aufpassen. Zum Glück wurden die Login-Daten von dem User der die Seite erstellt hat nicht gespeichert. Ein böswilliger Hacker hätte diese Adresse im Web verteilen, als neuen Google-Service ankündigen und so jede Menge Daten sammeln können. Der Reiz ein neues Google-Produkt als erster zu testen ist zu groß, als dass man auf die URL achten würde…

» Stellungnahme im Google Webmaster Blog
» Google Public Service Search
» Diskussion bei Google Blogoscoped

[Googlified]

Nachtrag:
» Lösung für das Public Service Search-Problem


Teile diesen Artikel: