Bilderklau durch Schwachstelle in Googles Picasa
Durch die Kombination verschiedener Angriffe soll es beliebigen Webservern möglich sein, auf die mit Picasa verwalteten Bilder zuzugreifen. Zudem gibt es weitere Probleme mit Anwendungen von Google.
- Daniel Bachfeld
Die Hauptprotagonisten rund um die URI-Lücken in Firefox und Windows haben sich Google zur Brust genommen: Billy Rios und Nate McFeters haben in ihrem Blog einen Weg beschrieben, wie Anwendern von Googles Fotoalben-Software Picasa die gesammelten Bilder von der Festplatte stibitzt werden können. Mit einer Kombination aus Cross-Application-Scripting, Cross-Site-Scripting, URI-Tricks und einem Flash mit ActionScript soll es ihnen gelungen sein, Bilder vom PC auf einen manipulierten Webserver zu laden.
Hauptursache der Schwachstelle soll wie zuvor bei ähnlichen Problemen anderer Anwendungen sein, dass Picasa bei der Installation die URI picasa:// registriert. Damit wird es von Webseiten ansprechbar und in Teilen steuerbar. Das haben sich Rios und McFeters zunutze gemacht, um ihrem Client beim Besuch einer präparierten Webseite ein wichtiges verfügbares Picasa-Update vorzugaukeln – ein gefälschter Button soll den Download anstoßen. Dabei wird der Anwender aber nicht auf die Seiten von Google geleitet, sondern auf einen bösartigen Server, der die Bilder von der Platte kopiert. Da dies etwas Zeit in Anspruch nimmt, täuscht ein gefälschter Update-Fortschrittsbalken einen Download von Googles Picasa-Homepage vor.
Laut Rios und McFeters ist der Angriff recht komplex und besteht aus mehreren Schritten, wofür mehrere Skripte notwendig sind. Die meisten der von Rob Carter geschriebenen Skripte haben sie sogar öffentlich zur Verfügung gestellt. In ihrem Bericht über die Lücke haben sie eine Fotoserie veröffentlicht, die den Ablauf eines Angriffs verdeutlichen soll. Eine Lösung des Problems ist nicht in Sicht, auch die Deregistrierung der URI bringt keine echte Hilfe, da dann laut Rios wichtige Abläufe in Picasa nicht mehr funktionieren.
Damit würden Googles Probleme ohnehin noch nicht enden. Berichten zufolge steckt in der Install-Version Google Urchin von Google Analytics eine Cross-Site-Scripting-Lücke, mit der Webseiten auf einfache Weise die Google-Login-Daten auslesen können. Ein Video soll die Wirkungsweise eines Exploits vorführen. Google ist laut Bericht seit dem 25. Juli über die Schwachstelle informiert und soll an einer Lösung arbeiten.
Des Weiteren gibt es Meldungen über eine XSS-Schwachstelle in Googles Search Appliance. Bei der Appliance handelt es sich um ein skalierbares Hard- und Software-Paket für größere Unternehmen, die damit in ihren internen Netzwerken und für öffentliche Webseiten eine Suchmaschine betreiben können. Eine derartige Lücke ließe sich etwa ausnutzen, um die bei Anwendern angezeigten Suchergebnisse zu manipulieren.
Schließlich ließen sich mit XSS-Schwachstellen auf Google.com Kontakte und Nachrichten aus Gmail-Konten auslesen. Die Fehler sind mittlerweile behoben. Die Ursache war nach Angaben des Entdeckers der Schwachstellen die fehlende Filterung von STYLE-Tags.
Siehe dazu auch:
- Say Cheeeeeese!, Blogeintrag von Billy Rios
- Stealing Pictures with Picasa, Blogeintrag von Billy Rios
- Google Urchin password theft madness , Blogeintrag von Adrian Pastor
- Another XSS In Google Search Appliance, Blogeintrag auf ha.ckers.org
- Google Vulnerability, Blogeintrag auf bedford.org
(dab)
