Sicherheitslücke späht alle Google Mail-Kontakte aus

Google Mail
Das neue Jahr hat für die Googler gleich mit einer riesigen Sicherheitslücke begonnen die alle eure Google Mail-Kontakte ausspähen konnte und immer noch kann. Den Ursprung hat das ganze mit der Entdeckung einer in der Entwicklung befindlichen API genommen, der Contacts API, welche zwar eine sehr gute Idee ist, aber derzeit noch ohne jede Sicherheitsbestimmung mit eMail-Adressen um sich wirft.

Der erste Schritt, die Entdeckung der API, kam natürlich wieder einmal von Garett Rogers. Er hat eine Zeile im Google Video-Quellcode entdeckt, die auf einen neuen „Contact-Picker“ hinweist. Schon länger ist es möglich, Videos an verschiedene eMail-Adressen weiterzuleiten, aber bisher musste man diese Adressen noch im Kopf haben oder von Google Mail abtippen. Mit dem neuen Feature wird man direkt aus den Google Mail-Kontakten auswählen können.

Die Funktion selbst ist immer noch aktiv, nur liefert sie derzeit verständlicherweise keine Daten mehr zurück. Schaut euch dazu einfach irgendein Video bei Google Video an und tippt dann folgende Zeile in die Adressleiste:

javascript:handlePickerClick(0);void(0);

voila!

Der Haken an der ganzen Sache ist ja nun, dass dieses Fenster die Daten irgendwo her bekommen muss – und genau da liegt das Problem. Bei fast jeder Subdomain eines Google-Dienstes hat vor einigen Tagen die URL subdomain.google.com/data/contacts eine vollständige XML-formatierte Liste der Google Mail-Kontakte zurückgeliefert. Bei einigen Angeboten, wie z.B. die Docs & Spreadsheets-Datei funktoniert dies immer noch und wird wohl von den Diensten dazu benutzt die Kontakt-Liste aufzubauen.

Richtig los ging es jetzt aber erst, als Haochi von Googlified sich diese XML-Dateien vorgenommen, mit einem Skript geparst und dieses Skript online gestellt hat. Digg und Slashdot haben ihr übriges getan und den Googlern das Wochenende und die Neujahresfete vermiest. Da sie sich so schnell nicht zu helfen wussten, haben sie die Ausgabe der Kontakte jetzt bei den meisten Angeboten erst einmal abgestellt. Haochi hat das Security-Team von Google zwar vor der Veröffentlichung des Skripts informiert, aber leider nur 2 Stunden davor und in der Nacht des 31.12 – auch nicht die feine englische Art…

Das Problem ist nun, dass einige Angebote die eMail-Adressen dringend brauchen und sich diese wohl immer auf diesem Wege geholt haben. Diese Sicherheitslücke muss jetzt schleunigst bei allen Angeboten geschlossen werden, sonst kann das noch böse Folgen haben und die Sicherheit von Google Mail noch weiter in Verruf geraten.

Die Frage ist nur, wieso die Googler nicht selbst auf die Idee gekommen sind die Daten auf einem anderen Wege in die Anwendungen zu importieren wo sie benötigt werden. Haben sie einfach auf Gut Glück die Daten auf diesem Wege ausgelesen und gehofft dass es schon keiner rausfinden wird? Leicht fahrlässig… Hoffentlich baut die neue API nicht auf diesem Prinzip auf, sondern hat eine sicherere Möglichkeit der Übertragung – ansonsten können sie das ganze wegschmeißen und von vorne beginnen.

Warum um diese ganze Sache nun so ein Wirbel gemacht wird ist natürlich verständlich. Zwar werden nur die Adressedaten der Kontakte angezeigt die zu dem dazugehörigen Google Mail-Account gehören mit dem man gerade eingeloggt ist, aber dies kann ganz leicht von Webmastern ausgelesen werden. Eine Webseite müsste nur im Hintergrund eben diese Seite öffnen, Google Mail liefert brav die Daten zurück, und der Webmaster kann diese Liste auslesen – ein Paradies für jeden Spammer, Millionen von existierenden eMail-Adressen.

Hoffentlich bekommt Google die Probleme schnell in den Griff…

Quellen, Links & weiterführende Artikel:
» Docs & Spreadsheets-XML-Kontakte
» Video-XML-Kontakte
» Skript von Haochi
» Entdeckung der API
» Aufruf des Contact Picker
» Google Mail-Kontaktliste
» Veröffentlichung des Skripts
» Problem teilweise gelöst
» Zusammenfassung von Haochi
» Bericht bei anty.at
» Bericht bei heise

Update:
» Google Mail ContactPicker jetzt bei Google Video und Spreadsheets


Teile diesen Artikel:

comment ommentare zur “Sicherheitslücke späht alle Google Mail-Kontakte aus

  • :S :S

    naja ich bekomme ja leider sowieso verdammt viel spam (nicht an Google Mail, aber an die die an Google Mail weitergeleitet werden^^)

    und das wird kein grund sein, dass ich Google Mail nicht weiter nutze..ich möchte nicht wissen, was es für sicherheitslücken in anderen services gibt… (zB AOL -> waren die doch oder?)

  • … nicht die feine Art? Sicherheitslücken sollten jeweils sofort veröffentlicht werden, denn es ist davon auszugehen, dass sie jeweils nicht zum ersten Mal entdeckt werden.

  • Tja Stefan, man sollte halt Einträge gleich veröffentlichen und nicht einfach als Posting speichern :-p

Kommentare sind geschlossen.