Am Wochenende wurde die ersten Sicherheitslücke in Googles Handybetriebssystem Android entdeckt. Experten der Firma Independent Security Evaluators (ISE) haben ein gravierendes Loch in der OpenSource Software entdeckt. Ihnen sei es gelungen durch eine präparierte Webseite Schadecodes auf das Handy zu schleusen.
ISE habe einen zuverlässigen Exploit zum Ausnutzen der Lücke entwickeln können. Als Ursache nannten die Experten - ohne exakte Angaben zu machen - eine veraltete Version eines Open-Source-Paket.
Komplette Kontrolle über das Handy bekommen die Angreifer aber nicht. Google verfolgt den Ansatz jede Anwendung als eigene Sandbox laufen zu lassen. Dies soll mögliche Sicherheitslecks isolieren. Allerdings könnte ein Trojaner im Webkit-Browser zum Beispiel Passwörter oder andere vertrauliche Daten abfangen.
Google wurde über die Lücke informiert und soll diese bereits geschlossen haben. Derzeit bereite man mit T-Mobile ein Update vor.
[heise]
Schlagwort: sicherheitslücke
Am Wochenende wurde die ersten Sicherheitslücke in Googles Handybetriebssystem Android entdeckt. Experten der Firma Independent Security Evaluators (ISE) haben ein gravierendes Loch in der OpenSource Software entdeckt. Ihnen sei es gelungen durch eine präparierte Webseite Schadecodes auf das Handy zu schleusen.
ISE habe einen zuverlässigen Exploit zum Ausnutzen der Lücke entwickeln können. Als Ursache nannten die Experten - ohne exakte Angaben zu machen - eine veraltete Version eines Open-Source-Paket.
Komplette Kontrolle über das Handy bekommen die Angreifer aber nicht. Google verfolgt den Ansatz jede Anwendung als eigene Sandbox laufen zu lassen. Dies soll mögliche Sicherheitslecks isolieren. Allerdings könnte ein Trojaner im Webkit-Browser zum Beispiel Passwörter oder andere vertrauliche Daten abfangen.
Google wurde über die Lücke informiert und soll diese bereits geschlossen haben. Derzeit bereite man mit T-Mobile ein Update vor.
[heise]
Einige Tage nach der Veröffentlichung von Share with Friends im Google Reader wurden Stimmen laut, dass Google mehr oder weniger wahllos Menschen mit denen man zwei, dreimal gemailt hat, als "Freunde" versteht und diese dann im Reader die geteilten Einträge des anderen sehen können.
Grund war übrigens Google Mail Contacts. Diese hat man nun bearbeitet und schlägt nun die Kontakte nur noch vor ohne sie ins richtige Adressbuch zu übernehmen.
Problem sehe ich immer noch dabei, dass man das Adressbuch nicht in zwei Teile spalten kann: Eines Freunde - das andere Geschäftlich.
Was Freunde sind bestimmt der Nutzer selber und so wäre diese Sicherheitslücke gefixt.
[Golem, thx to: urmelchen; readwriteweb.com]
vs. 
Auch wenn viele Google Mail-Nutzer für ihre Mail-Adresse ihre echten Namen verwenden, so ist dieser doch bisher immer Top-Secret gewesen. Durch einen kleinen Trick ist es jetzt aber möglich, den vollständigen Namen der Person herauszufinden die hinter der Google Mail-Adresse steckt. Dazu muss man im Grunde nur einen Kalender in Google Calendar hinzufügen.
Um den vollständigen Namen hinter einer Adresse herauszufinden, müsst ihr nur einen neuen Kalender anlegen, freigeben und die betreffende Person einladen. Gibt man hier eine Google Mail-Adresse ein und lädt die Seite dann neu, erscheint direkt über der eMail-Adresse der vollständige Name der Person. Vorausgesetzt ist natürlich dass die Person diesen Namen bei der Registrierung eingegeben hat - aber das dürften die meisten getan haben.
Das ist jetzt nicht wirklich eine Sicherheitslücke, aber dafür dass Google diese Information für unberechtigte eigentlich geheim halten wollte, kommt man doch recht einfach an die Namen heran. Wird sicherlich in den nächsten Tagen gefixt werden, also wenn ihr euch immer mal für den Namen hinter einer Adresse interessiert habt, müsst ihr euch beeilen ;-)
[heise, thx to: urmelchen]
In der vor 7 Tagen eingeführten Funktion Notes im Google Reader, gibt es eine Lücke, die es jedem erlaubt Falschmeldungen an seine Freunde zu verteilen.
Über den Share with notes Dialog kann man sowohl die Überschrift, als auch die Vorschau bearbeiten. So wird zum Beispiel aus dem Tipp zu IMAP mit Thunderbird ganz einfach eine Meldung, dass Google Mozilla gekauft hat. Den Link der Nachricht kann man aber nicht bearbeiten:
Die Freunde sehen dann das:
Wenn man schon den Text bearbeiten kann, sollten die Freunde dann wenigstens einen Hinweis darauf erhalten, bspw. "Your friend edited the snippet, please visit the page to see the original."
Oder einfach den Text in einer leichten nicht aufdringlichen Farbe unterlegen.
Mal gespannt ob und wann Google reagiert.
Forscher das amerikanisch-brasilianischen Information Security Research Team habe in Google Mail eine Sicherheitslücke entdeckt, die es Spammern leicht macht ihre Nachrichten zu verbreiten.
Vor einiger Zeit habe ich über die Google Mail Limits geschrieben. Über das Webinterface kann man eine Nachricht maximal an 500 Empfänger versenden. Durch eine Sicherheitslücke gelang es den Experten über ein Proof-of-Concept-Programm aber eine Spam an mehr als 4000 Nutzer zu adressieren. (mehr als 8-mal so viele).
Auf die genaueren Details gingen die Forscher nicht ein. Allerdings gaben sie bekannt, dass sie bei ihren Versuchen den Weiterleitungsmechanismus von Google Mail ausgenutzt haben.
So sei es ihnen möglich gewesen, ihrer Mail einen belieben Absender mitzuschicken. Die meisten Spamfilter schätzen Google Mails als sicherer ein und somit warr der Weg frei in die Inbox.
Bei den Test nutzten die Forscher nur ein Google Mail Konto und verschickten alle 5,5 Sekunden eine Nachricht.
Über die kleine Leistung eines Bot-Netzes könne man die Senderate erheblich steigern.
Google wurde bereits benachrichtigt. Exakte Details werden erst bekanntgegeben wenn die Lücke geschlossen ist.
[heise]
Vor einer Woche wurde eine von Billy Rios entdeckte Sicherheitslücke geschlossen. Der selbe Sicherheitsexperte hat nun eine Lücke in Google Docs gefunden.
Die Lücke befindet sich in Spreadsheets und erlaubt es alle Cookies des Angegriffenen zu stehlen. Laut Rios reicht es eine manipulierte Datei mit dem Internet Explorer zu öffnen. Der Grund, dass das ganze überhaupt funktioniert, ist ein vom Browser ignorierter content-type-Header in HTTP-Antworten vom Server.
Auch mit anderen Browsern zum Beispiel dem Firefox oder Safari war es Rios möglich alle Cookies zu stehlen. Mit den Google Cookies konnte er sich ohne Passwort bei fremden Accounts einloggen. Bei den anderen Browsern ging es aber nicht immer.
Wie schon beim letzten Mal hat Rios den Fehler an die Googler gemeldet, die die Lücke mitterweile geschlossen haben.
» Posting in Rios Blog
[Winfuture; heise, thx to: Felix]
Eine Sicherheitslücke in Google Code machte es sehr leicht möglich die Benutzerpasswörter auszuspähen. Billy Rois hatte die Lücke entdeckt und das Google Security Team hat diese mitterweile geschlossen.
Der Cross Domain Zugriff war möglich nachdem Rois ein modifiziertes Java Applet als issue bei Google Code hochgeladen hatte. Auf solche Dateien kann man nur über code.google.com zugreifen. Rois hatte durch das Sicherheitsmodell von Java nicht nur Zugang auf die Verzeichnisse sondern auf die gesamte Domain.
Rois hatt auf seiner Seite einen Screenshot veröffentlicht, der beweisen soll, dass er auch an die Passwörter der Code Nutzer gelangt war.
Gleichzeitig lobte er die Arbeit von Google, denn die Googler schlossen die Lücke in sehr kurzer Zeit.
[Winfuture]
Im Dezember 2007 wurde circa 400 000 orkut Accounts mit einem Wurm infiziert. Nun gibt es einen neuen Wurm.
Dieser trägt den Namen W32.Scrapkut. Laut heise und Symantec funktioniert der Wurm so: Im Gästebuch wird eine Nachricht verfasst und ein Link auf ein YouTube Video gesetzt. Will der Anwender es abspielen, wird aufgefordert die Datei "flashx_player_9.8.0.exe" zuinstallieren. Nun folgt ein Hinweis in Portugiesisch. Deswegen wird vermutet, dass der Wurm besonders auf Brasilien zielt.
Das Programm lädt weitere Software herunter und installiert sie. Eine davon ist eine Spyware, die dann die Login Daten von orkut abgreift und Links zum "YouTube Video" im Netz verbreitet.
Weitere Details bei heise und Symantec
Mit Hilfe der Auf Gut Glück Funktion können Spammer Links zu Malware-verseuchten Webseiten ganz einfach als Google Link tarnen. Ruft man http://www.google.de/search?hl=de&q=%22Google+Mail%22 kommt man wie gewünscht zu den Suchergebnissen bei Google. Durch eine kleine Veränderung an der URL http://www.google.de/search?btnI&hl=de&q=%22Google+Mail%22 wird man direkt aufs erste Suchergebnis geleitet. Die einzige Veränderung an der URL ist btnI. Spammer können durch einen unsinnigen Suchbegriff wie zum Beispiel "googlismus" gezielt ihre Seite ein erste Position setzen. Nachdem anfangs die Meldung kommt, dass zur Suchanfrage keine Dokumente gefunden wurden (wird mit diesem Begriff auch erst so sein), wird nach dem Besuch des Google Bots dieser Artikel bei diesem Suchbegriff an erster Position stehen. Um zu verhindern das andere Seiten davor liegen kann man durch das Parameter site:googlewatchblog.de dafür sorgen, dass der Link in der Spam auch an ersten Position bliebt. Beim Aufruf eines solchen unscheinbaren Googlelinks verbirgt sich vielleicht eine Seite die aktuelle Schwachstellen im Browser ausnutzt um schadhafte Codes auf dem PC zu installieren. Das funktioniert aber nicht nur mit dem Auf Gut Glück Button, auch mit dem Firefox. ruft man mit dem Firefox eine Seite auf, die nicht gefunden wird, sucht der Browser automatisch mit Hilfe von Google. Der Aufruf der Seite erfolgt nach diesem Muster http://www.google.com/search?sourceid=navclient&gfns=1&q=
Die vor wenigen Tagen aufgetauchte Sichereitslücke in Google Mail ist laut offiziellen Google-Angaben jetzt geschlossen worden. Über die Lücke war es möglich, von außen Filter für Google Mail zu erstellen mit denen man dann etwa alle eingehenden Mails zum eigenen Account hat weiterleiten lassen. Laut Google wurde diese Sicherheitslücke aber nicht "aktiv" genutzt - was immer das auch heißen mag...
Prüft auf jeden Fall eure Filter.
[golem, thx to: Pascal]
Wie CHIP Online berichtet ist hat gnucitizen.org eine Sicherheitslücke in Google Mail entdeckt. Es soll möglich sein, wenn man eine präparierte Seite aufruft und sich in einem anderen Fenster gerade bei Google Mail einloggt, dass ein Hacker die eMails klauen kann. Der Hacker erstellt einen Filter und leitet die eMails auf seine Adresse weiter. Dies geschieht über eine sogannte Cross-Site-Request-Forgery-Lücke (CSRF), die auch als Session Riding bekannt ist. Selbst wenn Google die Lücke schließt, bleibt der Filter erhalten. Man sollte also die Filter kontrollieren.
Google öffnet seine Dienste über http, wer die sicherere Verbindung https nutzen möchte sollte im Firefox erst Greasemonkey und dann dieses Script installieren.
Ich habe selbst das Script ausgetestet und bin zu frieden, leider dauert das Laden etwas länger, was man aber für Sicherheit in Kauf nehmen kann. Mehr Tools und Tipps in der Google Wiki.
Die Sicherheitsexperten Billy Rios und Nate McFeters haben in Picasa eine Lücke gefunden, die es erlaubt Picasa-Nutzern Fotos direkt von der Festplatte zu stehlen.
[chip , heise.de]
[Gastartikel von: Pascal]
Nachtrag:
» Sicherheitslücke in Google Mail geschlossen, kein Schaden entstanden
Zwar ist YouTube ein Portal zum Videoaustausch mit der ganzen Welt, aber trotzdem gibt es eine Funktion mit der Videos als privat markiert werden können. Diese Videos können dann nur von den Usern gesehen werden die per Mail dazu eingeladen werden - vermeintlich. Ganz so privat wie die meisten wohl gehofft haben sind diese Videos nämlich nicht...
In Googles Office-Anwendung Docs & Spreadsheets wurde eine schwere Sicherheitslücke gefunden die aufzeigt dass Dokumente die als "privat" gekennzeichnet sind doch nicht so ganz privat sind wie gedacht. Dies gilt zumindest für die in das Dokument eingebetteten Bilder und Fotos, diese sind nämlich separat gespeichert und für jedermann zugänglich - auch ohne Zugangsberechtigung.
Zu jedem einzelnen Video kann man sich bei YouTube anzeigen lassen von welchen Webseiten es am meisten aufgerufen worden ist. Google scannt fleißig alle Webseiten, natürlich auch die von YouTube. Kombiniert man diese beiden Dinge jetzt miteinander kann man mit der richtigen Suchanfrage jede Menge FTP-Passwörter herausfinden - eine offene Sicherheitslücke.
Die neue Slideshow-Funktion der Picasa Web Albums hat eine Sicherheitslücke und zeigt, wie schon öfter bei den Web Albums passiert, auch private Galerien an. Wird eine Slideshow einmal in eine Webseite eingebunden, ist diese auch noch sichtbar wenn die eigentliche Galerie versteckt bzw. der Status auf "Privat" gesetzt wird. Bleibt nun die Frage: Is it a bug or a Feature? Es mag sein dass es für einige ganze praktisch ist wenn sie ihre nicht für die Öffentlichkeit bestimmte Galerie auch auf bestimmten Webseiten als Slideshow einbinden können, aber für mich ist das ganze eindeutig eine Sicherheitslücke. Anscheinend behält Google den Feed der betreffenden Galerie noch eine Weile im Cache und kann so weiterhin auf die eigentlich versteckten Fotos zugreifen. Na dann mal an die Arbeit ihr Googler ;-) [Zerstoiber]