Google-Schwachstelle ermöglichte Account-Übernahme

Tony Ruscoe berichtet im Blog Google Blogoscoped über eine von ihm entdeckte Sicherheitslücke bei Google, mit der Angreifer in fremde Accounts eindringen konnten. Indem man ein Opfer auf eine speziell präparierte Seite lockte, konnte man damit unter anderem dessen bei Google Docs & Spreadsheets hinterlegten Dokumente einsehen und verändern, auf die personalisierbare Homepage des Opfers zugreifen, dessen Google-Accounts-Seite sehen sowie das private Google Notebook lesen.

Vollständig übernehmen ließen sich Accounts mit dem Hack nicht. So konnte ein potenzieller Angreifer zum Beispiel nicht das Account-Passwort ändern oder auf Gmail zugreifen (Allerdings ließen sich über das Gmail-Modul der persönlichen Homepage die Betreffzeilen und ersten Worte neuer Mails einsehen).

Der Hack nutzte eine neue Funktion namens Custom Domains aus, mit der Benutzer der Plattform Blogger.com ihre Blogs unter einem beliebigen Domain-Namen veröffentlichen können. Dazu muss der Benutzer eine Domain besitzen und in deren DNS-Eintrag einen so genannten CNAME-Record anlegen, der Anfragen an seine Domain an einen Server bei Google weiterleitet. Außerdem muss man in den Einstellungen seines Blogs angeben, welche Domain dazugehört.

Ruscoe hatte beobachtet, dass man in den Einstellungen bei Blogger.com einen beliebigen Domain-Namen angeben konnte, egal ob man der Inhaber der Domain war oder nicht. Insbesondere fand er auch eine google.com-Subdomain, unter der er auf diese Weise ein Blog publizierte. Mit einem einfachen JavaScript konnte er dort das Google-Cookie von Besuchern auslesen. Mittlerweile ist laut Google und Ruscoe das Problem behoben. Google lässt bei der Einrichtung von Blogger Custom Domains Google-Domains nicht mehr zu. (jo)