Nachrichtenklau in Google Mail
Petko Petkov berichtet in seinem Blog von einer Schwachstelle in Google Mail, über die Angreifer mit manipulierten Webseiten etwa Filter im Maildienst einrichten und so an die Nachrichten von Nutzern gelangen können.
Petko Petkov (pdp) warnt vor einer Sicherheitslücke in Google Mail. Angreifer können seiner Meldung zufolge mit manipulierten Webseiten, die ein Google-Mail-Nutzer bei einer aktiven Webmail-Sitzung öffnen muss, etwa Filtereinstellungen unterschieben, über die dann beispielsweise alle ein- und ausgehenden Mails weitergeleitet werden. Es handelt sich dabei um eine sogenannte Cross-Site-Request-Forgery-Lücke (CSRF), die auch als Session Riding bekannt ist.
Ein derart eingerichteter Filter bleibt auch nach einer Abmeldung vom Webmail-Dienst aktiv und ermöglicht beispielsweise die komplette Überwachung des Mailverkehrs eines Nutzers. Genauere Einzelheiten zur Schwachstelle veröffentlicht Petkov erneut nicht – bereits bei der Sicherheitslücke in PDF-Readern hielt er sich mit Details zurück. Er will sie nachreichen, sobald Google das Problem behoben hat. Erst am gestrigen Dienstag wurde eine Sicherheitslücke in Googles Fotoalben-Software Picasa bekannt, die ebenfalls noch nicht geschlossen ist.
Siehe dazu auch:
- Google GMail E-mail Hijack Technique, Sicherheitsmeldung von Petko Petkov (pdp)
- Missbrauch von Web-Verbindungen durch Session Riding, Meldung von heise Security
(dmk)