Google dementiert Sicherheitslücke in Google Mail

Nach Aussage von Google sind die kürzlich gemeldeten Manipulationen von Google-Mail-Konten nicht auf eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) zurückführen. Vielmehr habe es sich nach einer Analyse zusammen mit den Betroffenen herausgestellt, dass simple Phishing-Angriffe auf die Inhaber der Mail-Konten die Ursache waren. Mit den abgephishten Daten hätten die Betrüger dann Zugriff auf das Mail-Konto gehabt und bestimmte Filter definieren können, um Mails automatisch an sich umzuleiten.

Damit war es in der Folge möglich, an die von Domain-Verwaltern per Mail verschickten Instruktionen zum Zurücksetzen des Passwortes zu gelangen und anschließend die Domain zu transferieren oder freizugeben. Opfer dieses Angriffs war nach eigenen Angaben Anfang November der Betreiber des bei GoDaddy.com registrierten Newsdienstes MakeUseOf.com.

Google widerspricht zudem Vermutungen, dass eine 2007 bekannt gewordene CSRF-Schwachstelle immer noch funktioniert. Allerdings tritt Google nicht explizit der im Blog GeekCondition veröffentlichten Anleitung entgegen, wie Unbefugte einen Filter im Mail-Konto anderer Anwender definieren können.

Schutz vor Pishing-Angriffen auf Google-Mail-Nutzer bietet nach Meinung von Google, wenn der Anwender den Maildienst grundsätzlich nur über SSL-gesicherte HTTP-Verbindungen aufruft und die Gültigkeit des Zertifikats prüft beziehungsweise Fehlermeldungen nicht einfach ignoriert. Auch die ICANN hat bereits Mitte des Jahres mit einem Leitfaden auf mögliche Phishing-Attacken hingewiesen, bei denen Administratoren auf nachgemachten Registrar-Seiten landen und dort Name und Passwort verraten. Leider hatte die ICANN die eigenen Empfehlungen wohl nicht beherzigt, sodass bereits einen Monat später die Domain der ICANN (und der IANA) von türkischen Hackern entführt wurde.

Siehe dazu auch:

• Gmail security and recent phishing activity, Stellungnahme von Google
• Lücke in Google Mail ermöglicht Umleiten von Mails, Bericht auf heise Security

(dab)