Webseiten konnten Google-Mail-Kontaktliste klauen
Über eine bei allen Anwendern gleiche URL können Webseiten die komplette Kontaktliste von Google Mail Usern auslesen während diese bei Googles Maildienst angemeldet sind.
Nicht ganz wie von heise Security vorhergesagt die komplette Mail-Korrespondenz, doch zumindest die Kontaktlisten von Google-Mail-Usern sind quasi öffentlich zugänglich. Wer in einer Mail in seiner GMail-Box einen Link öffnet, riskiert damit, dass die aufgerufene Webseite all seine Kontakte ausliest. Voraussetzung für den Zugriff ist lediglich, dass das Opfer derzeit bei Google Mail angemeldet ist -- was beim Lesen seiner Mail der Fall sein dürfte.
heise Security konnte das Problem in einem kurzen Test nachvollziehen. Es beruht auf der Tatsache, dass Google die Kontaktliste als JavaScript-Code ablegt, der immer unter derselben URL zu erreichen ist. Damit muss eine Web-Seite diese URL nur noch als Script einbinden und anschließend das Feld auslesen -- was bereits eine ganze Reihe von Web-Sites erfolgreich demonstriert. Mittlerweile scheint Google jedoch reagiert zu haben -- zumindest funktionieren die Demos nicht mehr.
Besonders peinlich für den Suchmaschinenriesen ist, dass Jeremiah Grossman in seinem Blog bereits vor genau einem Jahr über dieses Problem berichtet und es an Google gemeldet hatte. Offenbar hat man damals seine Ermahnungen, sensible Daten nicht als JavaScript unter vorhersagbaren URLs abzulegen, nicht ausreichend ernst genommen. (ju)
