Sicherheitslücke Hacker spähte Google-Adressen per Webseite aus

Peinliche Lücke für den Internet-Riesen: Es genügt, eine manipulierte Webseite aufzurufen, schon ist die eigene Google-Adresse ausspioniert. Man muss nur irgendwann auf dem Rechner bei einem Google-Dienst eingeloggt gewesen sein. Google beruhigt: Das Problem sei behoben.

Google-Logo (gespiegelt): Ein Hacker demonstriert eine Lücke in Googles Webmaildienst
dpa

Google-Logo (gespiegelt): Ein Hacker demonstriert eine Lücke in Googles Webmaildienst


Ausgerechnet bei Googles eigener Blogplattform Blogspot hat ein Hacker diese Sicherheitslücke demonstriert: Wer die Seite aufrief, hatte wenig später Post in seinem Google-Mail-Postfach. "Eine irgendwie wichtige Nachricht" lautete die Betreffzeile, im Nachrichtentext stand: "Hallo, bitte teilen Sie diesen Link, P.S.: Sie haben diese Nachricht erhalten, weil sie diese Seite wahrscheinlich schon besucht haben."

Technik-Blogger Michael Arrington hat das ausprobiert und fragt wie wohl jeder Empfänger dieser Nachricht: Wie kann das sein? Arrington hatte seine persönliche Adresse nirgends eingegeben, die Webseite muss sie irgendwie beim Aufrufen abgegriffen haben.

Der Schöpfer der inzwischen entfernten Seite begründet in einer Nachricht an Arrington sein Vorgehen so: "Das Problem liegt allein bei Google." Wenn die Firma sich bei ihm melde, würde er den Verantwortlichen gerne erklären, wie er die Daten abgegriffen habe, bei seinen ersten Kontaktversuchen habe bei Google niemand mit ihm reden wollen.

Google: "Wir haben das Problem schnell gelöst"

Ein Google-Sprecher erklärte nach Abschaltung der Webseite mit der Schnüffel-Demonstration gegenüber Techcrunch: "Wir haben das Problem schnell gelöst." Es habe sich um einen Fehler in einer Programmierschnittstelle gehandelt. Die Lücke habe es lediglich ermöglicht, Nutzern eines Google-Kontos beim Besuch einer präparierten Seite eine Nachricht an ihre Google-Adresse zu senden. Das sei nur möglich gewesen, solange die Betroffenen bei ihrem Google-Konto eingeloggt gewesen seien.

Diese Einschränkung wirkt wenig beruhigend, denn die meisten Nutzer eines Webmail-Dienstes wie Google Mail dürften bei dem entsprechenden Konto ständig eingeloggt sein. Helfen könnte gegen vergleichbare Lücken womöglich eine strikte Trennung zwischen einem Browser für die normale Webnutzung und einem Browser, der allein für Webmail-Anwendungen genutzt wird.

Wie schwerwiegend die demonstrierte und nun geschlossene Sicherheitslücke war, ist derzeit schwer abzuschätzen. Der Darstellung von Techcrunch zufolge konnte der Hacker wohl nur die Adresse des Kontobesitzers ausspähen - Zugriff auf andere Adressen aus dem Kontaktverzeichnis der Nutzer oder gar auf die Inhalte von Nachrichten hatte er nach dem derzeitigen Kenntnisstand nicht.

lis

Forum - Diskutieren Sie über diesen Artikel
insgesamt 19 Beiträge
Alle Kommentare öffnen
Seite 1
billubillu 21.11.2010
1. blablabla
blablabla meine fresse lernt doch mal lesen oder kennt euch aus mit dem thema bevor ihr sowas schreibt! es wurde überne API ne nachricht verschickt, keine Email adresse auspioniert. dazwischen liegen welten und wenn ihr den unterschied nicht kennt dann einfach mal nichts schreiben, statt so nen schmarrn
adum888 21.11.2010
2. Quelle?
Zitat von billubillublablabla meine fresse lernt doch mal lesen oder kennt euch aus mit dem thema bevor ihr sowas schreibt! es wurde überne API ne nachricht verschickt, keine Email adresse auspioniert. dazwischen liegen welten und wenn ihr den unterschied nicht kennt dann einfach mal nichts schreiben, statt so nen schmarrn
interresant ähm hast du ne quelle oder so wo man sich das selber durchlesen kann? mfG
duanehanson 21.11.2010
3. Meine Fresse, ...
Zitat von billubillublablabla meine fresse lernt doch mal lesen oder kennt euch aus mit dem thema bevor ihr sowas schreibt! es wurde überne API ne nachricht verschickt, keine Email adresse auspioniert. dazwischen liegen welten und wenn ihr den unterschied nicht kennt dann einfach mal nichts schreiben, statt so nen schmarrn
... lerne erst einmal schreiben, bevor du in einem Erwachsenenforum postest. Oder sollte ich schreiben »posten tust«?
billubillu 21.11.2010
4. der techcrunch artikel
der verlinkt wurde, inkl. den kommentaren reicht komplett aus, ansonsten musst du wohl leider die API von Google durchlesen, das könnte unspannend werden
roflem 21.11.2010
5. .
Zitat von billubillublablabla meine fresse lernt doch mal lesen oder kennt euch aus mit dem thema bevor ihr sowas schreibt! es wurde überne API ne nachricht verschickt, keine Email adresse auspioniert. dazwischen liegen welten und wenn ihr den unterschied nicht kennt dann einfach mal nichts schreiben, statt so nen schmarrn
selber ahnungslos! schon das Wort API sagt fast alles: für 3rd developer offengelegte Schnittstellen über die es dann möglich ist eine webseite so zu präparieren, dass wenn man diese Seite besucht während man mit gmail eingelogt ist, die email addy vom Betreiber ausgelesen werden kann! schlimm genug und ein Grund sich von gurgel mail zu verabschieden!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.