Gefährliche Schaltflächen in Googles Toolbar

Googles Toolbar erlaubt es Anbietern und Webseiten, zusätzliche Schaltflächen etwa für komfortablere Suchfunktionen für die eigene Webseite zu installieren. Die bei so einer Installation angezeigten Daten wie der Ursprung der Schaltfläche sowie die Seite, mit der Daten ausgetauscht werden, können Angreifer jedoch fälschen, wie der Sicherheitsforscher Aviv Raff herausgefunden hat. Dies erleichtere es kriminellen Individuen, Phishing-Angriffe durchzuführen oder Anwender dazu zu verleiten, angebotene Programme auszuführen, da sie der vermeintlichen Ursprungsseite vertrauen.

Googles Toolbar lässt sich dadurch austricksen, dass Angreifer anstatt der eigentlichen Webseite als Links in den Installationsdateien eine Umleitung eintragen, etwa über Googles öffentlich zugängliche Redirector-Funktion: http://www.google.com/local_url?q=. In der Toolbar für den Internet Explorer lassen sich bei der Installation sowohl Urspung als auch die angezeigte Adresse unter Datenschutz fälschen, in der Firefox-Version lediglich die Anzeige unter Datenschutz.

Raff stellt eine Demonstration der Lücke auf seinem Server bereit. Nach dem Anklicken des Links erscheint eine Anfrage, ob man eine Schaltfläche von Google installieren möchte, die Daten von der Domain www.google.com erhält. Tatsächlich stammt die Schaltfläche jedoch von Raffs Server, raffon.net. Nach der Installation führt ein Klick auf die Schaltfläche zu einem Download – allerdings zeigt der Internet Explorer dort die echte Domain an, von der die Datei stammt. Ist ein Anwender jedoch kurz unachtsam, ließe sich so beispielsweise ein Trojaner einschleusen.

Laut Raffs Sicherheitsmeldung ist Google über die Schwachstelle informiert und arbeite bereits an einer fehlerbereinigten Version. Bis dahin empfiehlt sich, keine benutzerdefinierten Schaltflächen in Googles Toolbar zu installieren.

Siehe dazu auch:

• Google Toolbar Dialog Spoofing Vulnerability, Sicherheitsmeldung von Aviv Raff
• Demonstration der Schwachstelle

(dmk)