Google-Experte Tony Ruscoe hat über eine Sicherheitslücke im System eine Möglichkeit gefunden auf jeden beliebigen fremden Google-Account zuzugreifen und viele enthaltenen Informationen einzusehen oder gar zu verändern. Die Lücke ist mittlerweile behoben, aber wie Tony das genau angestellt hat verrät er nicht – nur soviel: Er musste nur seine Cookies austauschen.
Die Zeit in der man einfach den Loginnamen in den eigenen Cookies durch den Loginnamen des Opfers ersetzen musste ist zwar schon lange vorbei, aber im Grunde hat Tony es auf eine ähnliche Art und Weise geschafft an den Account von Philipp Lenssen (als Beispiel, er war eingeweiht) heranzukommen. Anscheinend hat Tony also eine Möglichkeit gefunden auf den Google.com-Cookie zuzugreifen.
Eine ähnliche Sicherheitslücke gab es vor einigen Monaten schon einmal. Damals wurden frei anpassbare Suchseiten auf Google.com gespeichert und abgerufen, so hatte die Webseite freien Zugriff auf die Cookies. Mit der Verlagerung auf eine andere Domain wurde dieses Problem aus der Welt geschafft, aber anscheinend gibt es immer noch eine Möglichkeit auf einer Google.com-Subdomain eigenen Content unterzubringen – aber Tony verrät nicht wo.
Alles was er jetzt tun musste, ist ein kleines Skript zu basteln dass den Cookie des Besuchers ausliest und diese Daten an Tony sendet. Das muss der User im besten Fall garnicht merken – denn wenn Tony das Skript eine nett gestaltete Seite einbaut wird der User den Link im besten Falle sogar weitergeben und Tony kommt an Haufenweise Google-Accounts heran.
Jetzt musste der Cookie von Tony nur noch durch den von Philipp ausgetauscht werden, und schon hatte er Zugriff auf folgende Dinge:
» Voller Zugriff und alle Bearbeitungsrecht für Google Docs & Spreadsheets
» Teilweise auslesen der eMails, durch das Google Mail-Modul für die Personal Homepage – auf Google Mail selbst war kein Zugriff möglich
» Einblick in die Google Accounts-Seite
» Voller Zugriff auf den Google Reader
» Voller Zugriff auf das Google Notebook
» Voller Zugriff auf den Suchverlauf
Man kann Google jetzt zwar zugute halten dass die richtig sensiblen Daten wie eMails oder der Zugriff auf AdSense und AdWords nicht funktioniert hat, aber das ist auch nur ein schwacher Trost. Anscheinend verwendet Google kein einheitliches Loginsystem bei seinen Angeboten – sonst hätte der Cookie-Trick überall oder nirgendwo funktionieren dürfen.
Und wieder einmal müssen wir uns die Frage stellen ob Google wirklich genügend dafür tut all unsere Daten zu schützen. Zwar wurde die Sicherheitslücke die für das auslesen des Cookies verantwortlich ist nach etwas weniger als 4 Stunden behoben – Rekordzeit – aber von selbst kam kein Googler darauf, oder hat sich zumindest nicht darum gekümmert. Ich denke Google wird einen ganzen Stab an Sicherheitsexperten beschäftigen – fragt sich nur was die den ganzen Tag lang machen…
Aber so lange solche Bugs in windeseile behoben werden und nicht all zu häufig auftauchen wird die Einstellung „Eine Google.com-Seite, die ist sicher“ vom Großteil der User beibehalten.
Nachtrag:
» Details zur Cookie-Sicherheitslücke