Tricksereien mit Google-Desktop [Update]

Sicherheitsexperten zeigen, wie sich Googles Desktop-Suche mit einem Man-in-the-Middle-Angriff übers Netz zum unbemerkten Starten beliebiger Programme durch einen Angreifer nutzen lässt.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Eine Schwachstelle in Googles Desktop-Suche gefährdet unter Umständen die Sicherheit von Anwendersystemen. Wie der Sicherheitsexperte Danny Allan von Watchfire zeigt, lässt sich eine Schwachstelle bei der Verarbeitung des Suchparameters under: ausnutzen, um beliebige Programme auf dem Rechner des Opfers zu starten. Voraussetzung dafür ist jedoch, dass ein Angreifer als Man-in-the-Middle die Netzwerkverbindung eines Rechners mit installierter Google-Toolbar kontrolliert und somit beliebigen JavaScript-Code einschleusen kann.

Grundlage des Angriffs ist, dass die Desktop-Suche nach einem under:-Parameter angegebenen JavaScript-Code zwischenspeichert und auch für die drei folgenden Suchvorgänge ausführt. Da Googles Desktop-Suche bereits diverse Sicherheitsmaßnahmen implementiert, etwa einen Referrer-Check, musste Allan jedoch offenbar tief in die Trickkiste greifen, um die Schwachstelle erfolgreich auszunutzen. Durch eine Kombination einer XSS-Lücke in der Google-Seite und verschiedenen Browser-Tricks, etwa einem unter dem Mauszeiger nachgeführten IFrame zum Einfangen von Mausklicks, gelang es aber offenbar, beliebige Programme zu starten.

Nach den Ausführungen lässt sich der Angriff derart unauffällig umsetzen, dass das Opfer nichts davon mitbekommt. Wie den Kommentaren seines Blogs zu entnehmen ist, war er jedoch nicht in der Lage, den Programmen beliebige Parameter zu übergeben, was die Gefährlichkeit des Angriffs erheblich einschränkt. Angesichts dessen und des zu betreibenden Aufwands sollte man das Problem wohl nicht überbewerten.

Die weiteren Details des Angriffes sind in einer Präsentation sowie einem kurzen Film auf Google-Video ausgeführt.

Update:
Die von Allan beschriebene Lücke ist bereits seit einiger Zeit geschlossen. Die Demonstration, die nicht Allan, sondern die beiden Hacker RSnake und id in ihrem Blog veröffentlichten, basiert lediglich auf dem Injizieren per Man-in-the-Middle-Angriff von JavaScript-Code, der zum Einfangen von Klicks einen IFrame unter der Maus nachführt.

Siehe dazu auch:

(cr)