Google-Cookie-Diebstahl, die Zweite

Per Cross Site Scripting können Angreifer Google-Cookies stehlen.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Lesezeit: 1 Min.
Von

Nach der Sicherheitslücke, mit der Angreifer ein Stück weit in die Google-Accounts beliebiger Nutzer eindringen konnten, ist ein zweites, ähnlich gelagertes Problem bekannt geworden. Wie bei der vorangegangenen Schwachstelle lässt sich das Google-Cookie der Nutzer auslesen. Damit hat der Angreifer zwar nicht vollen Zugriff auf den zugehörenden Google-Account. Dennoch erhält er Zugriff auf viele persönliche Informationen, etwa die bei Google Docs & Spreadsheets hinterlegten Dokumente und die komplette Suchhistorie. Dazu muss das Opfer eine präparierte Seite aufrufen.

Anders als bei der ersten Sicherheitslücke beruht die zweite auf Cross Site Scripting. In der URL des Google-Dienstes wird dabei ein Script geladen, das das Cookie des Opfers ausliest und an den Server des Angreifers sendet. Laut Philipp Lenssen, Betreiber des Blogs Google Blogoscoped, hat Google die Ursache des Problems schon aus der Welt geschafft. Weitere Details sind aber noch nicht bekannt. (jo)