Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Lücke in Google Mail ermöglicht Umleiten von Mails

Aktuell gibt es mehrere Berichte über erfolgreiche Angriffe, bei denen die Lücke missbraucht wurde, um die Kontrolle über die Verwaltung von Domains von Opfern zu erhalten.

In Pocket speichern vorlesen Druckansicht 86 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Daniel Bachfeld

Eine Sicherheitslücke in Google Mail soll es Angreifern ermöglichen, eigene Filter im Postfach eines Opfer zu definieren und so etwa bestimmte empfangene Mails auf die Adresse des Angreifers umzulenken. Aktuell gibt es mehrere Berichte über erfolgreiche Attacken, bei denen die Lücke missbraucht wurde, um die Kontrolle über die Verwaltung der Domains von Opfern zu erhalten.

Im Wesentlichen soll die Lücke auf einer Cross-Site-Request-Forgery-Schwachstelle (CSRF) beruhen, bei der eine präparierte Webseite den Filter in Google Mail setzt. Dazu muss das Opfer allerdings ein Browserfenster mit Google Mail geöffnet und sich dort authentifiziert haben sowie in einem zweiten Browserfenster die manipulierte Webseite aufrufen.

Ist der Filter gesetzt, muss der Angreifer auf den Seiten des Domain-Verwalters die Funktion zum Rücksetzen des Passwortes für das Management der Domain aufrufen und bekommt anschließend per Mail die eigentlich für das Opfer vorgesehenen Instruktionen zum Erhalt eines neuen Passworts. Damit ist er in der Lage, das Konto und somit die Kontrolle über die Domain zu übernehmen und diese zu transferieren oder freizugeben.

Eine sehr ähnliche Lücke gab es Mitte 2007 bei Google Mail, die Berichten zufolge ebenfalls zum Umleiten von Mail per Filter benutzt wurde. Allerdings ging man bislang davon aus, dass Google die Lücke seinerzeit beseitigt hatte. Offenbar ist dem nicht so, denn Google verwendet Analysen zufolge immer noch eine sitzungsbezogene statt einer request-bezogenen Authentifizierung. Letztere böte nämlich Schutz vor CRSR-Angriffen, da ein Angreifer dabei eine bestimmte ID für einen gültigen HTTP-Request erraten muss.

Immerhin können Anwender sich mit dem Plug-in NoScript selbst vor CSRF-Angriffen schützen. Dies versucht verdächtige Anfragen zu erkennen und zu blockieren. Daneben kann NoScript auch vor Cross-Site-Scripting-Attacken schützen. In den Genuss dieses Schutzes kommen derzeit jedoch nur Anwender eines Mozilla-basierten Browsers wie Firefox.

(dab)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten