Löcher im virtuellen Einkaufsnetz
Das E-Commerce-Programm "Dansie Shopping Cart" enthält angeblich versteckte Funktionen, die sich für Spionage und Sabotage nutzen lassen.
Das E-Commerce-Programm "Dansie Shopping Cart" enthält angeblich versteckte Funktionen, die es Angreifern ermöglichen, beliebige Kommandos auf dem Zielrechner auszuführen. Entdeckt wurde die Hintertür von Joe Harris vom technischen Support bei Blarg Online Services, als er einem Kunden bei der Installation des Dansie Shopping Carts geholfen hat. Zudem soll die Software unter bestimmten Umständen ohne Wissen des Benutzers E-Mails an den Programmautor senden.
Den Mailversand an sich findet Harris noch nicht allzu alarmierend; viele Programme schicken automatisch Nachrichten an den Hersteller, entweder bei Fehlermeldungen oder um den legalen Einsatz des Programms zu ĂĽberwachen. Seltsam findet Harris allerdings, dass der Programmcode so gestaltet wurde, dass das Verschicken der E-Mail versteckt geschieht: Alle Header-Daten sind verschlĂĽsselt.
Darüber hinaus ermögliche eine Hintertür das Ausführen beliebiger Befehle auf dem Zielrechner. Mit einem neunstelligen Kennwort könne sich jeder Surfer, der einen Web-Shop mit den Dansie-Skripten besucht, die gleichen Zugriffsrechte erschleichen, die der Software selbst zur Verfügung stehen. Damit könnte es einem potenziellen Angreifer möglich sein, sensitive Daten wie Kreditkarteninformationen auf dem Server auszuspionieren oder Webseiten zu verändern.
In einer Stellungnahme behauptet dansie.net, die fraglichen Routine lediglich eingebaut zu haben, um sich gegen unautorisierte Installationen des Programms zu schützen. In der Sicherheits-Mailingliste Bugtraq bezweifelt man das allerdings. Selbst wenn das die Absicht der Programmierer war, so müssten sich sich Inkompetenz vorwerfen lassen – eben weil sich die Hintertür nicht nur von ihnen selbst, sondern auch von Dritten ausnutzen ließe. (pab)
