Passwortklau durch Schwachstelle in Google Code
Google bietet Entwicklern Webspace für ihre Projekte unter Google Code an. Billy Rios hat eine Schwachstelle aufgedeckt, durch die er mit einem präparierten Java-Applet Passwörter von Google-Code-Nutzern ausspähen konnte.
Billy Rios hat eine Schwachstelle in dem Dienst Google Code aufgedeckt, durch die man Entwicklern, die sich dort angemeldet haben, die Passwörter klauen konnte. Das Google Security Team hat die Schwachstelle inzwischen geschlossen.
Rios gelang der Cross-Domain-Zugriff, indem er zu einem Projekt auf code.google.com ein manipuliertes Java-Applet als issue hochgeladen hat. Auf Dateien, die als issue hochgeladen wurden, kann man anschließend über die Google-Domain zugreifen. In seinem Blog-Eintrag beschreibt Rios, dass ein derartiger Angriff üblicherweise mit einem präparierten Flash-Applet ausgeführt würde, was allerdings in diesem Fall nutzlos wäre, da das Flash-Applet nur Zugriff auf Unterverzeichnisse der Domain erhalten würde.
Das Java-Sicherheitsmodell eröffne aber den Zugriff auf die vollständige Domain und nicht nur auf bestimmte Unterverzeichnisse. Das eingeschleuste Java-Applet unter der Google-Domain kann nun von einer externen Webseite eingebunden werden und trotzdem mit dem Google-Server kommunizieren. Rios hat einen Screenshot veröffentlicht, der beweisen soll, dass er so an das Passwort eines Nutzers von code.google.com gelangen konnte.
Bislang schütze keine Appliance oder Software vor derartigen Cross-Domain-Zugriffen, schreibt Rios in seinem Blog. Googles Security-Team habe die Schwachstelle aber sehr schnell abgedichtet.
Rios ist kein Unbekannter. Zusammen mit Nathan McFeters hat er die URI-Schwachstelle in Windows aufgedeckt und Demonstrationen der Lücke veröffentlicht, außerdem hat er ebenfalls zusammen mit McFeters Schwachstellen in Googles Picasa gefunden.
Siehe dazu auch:
- Insecure Content Ownership, Blog-Eintrag von Billy Rios
(dmk)
