Donnerstag, 27. September 2007

Sicherheitsleck: GMail-Hack leitet Mails weiter!

Wie im Blog GNUCitizen.org von Petko Petkov zu lesen ist, weist GMail (aka GoogleMail) offensichtlich eine nicht unerhebliche Sicherheitslücke auf. Über diese kann der Hacker Mails an den Nutzer unerkannt an eine weitere Email-Adresse weiterleiten lassen.

Funktionieren tut das folgendermaßen:
Wenn der User sich in GMail einloggt und gleichzeitig eine präparierte Webseite öffnet, kann ein sog. Cross Site Request Forgery eingeleitet werden – die Seite fürt ein "multipart/form-data" aus. Hierdurch kann der Hacker die Filtereinstellungen von GMail anpassen und etwa Mails mit Anhängen an seine eigene Adresse weiterleiten lassen.

Mit einem ähnlichen Trick war es einst auch möglich gewesen, die Kontakte der Gmail-User zu stehlen. Bis das Sicherheitsleck gestopft ist, wird also geraten regelmäßig seine Filtereinstellungen zu kontrollieren.

[via blogs.zdnet.com]

Keine Kommentare: