Sicherheitsloch: Angreifer können Gmail-E-Mails mitlesen

Angreifer legen eigene Filterregeln in Google Mail an

In Google Mail alias Gmail wurde ein Sicherheitsleck entdeckt, über das Angreifer beliebige E-Mails mitlesen können. Angreifer schleusen dazu spezielle Filtereinstellungen in Googles E-Mail-Dienst ein, indem Opfer lediglich zum Besuch einer präparierten Webseite verleitet werden müssen, während sie zugleich bei Gmail angemeldet sind.

Anzeige

Bei der Sicherheitslücke handelt es sich um ein so genanntes Cross-Site-Request-Forgery-Leck (CSRF), das von Petko D. Petkov alias pdp entdeckt wurde. Er will keinen Beispiel-Code zu dieser Sicherheitslücke veröffentlichen, um Google die Möglichkeit zu geben, den Fehler ohne Schaden auszubessern.

Zur Ausnutzung der Sicherheitslücke muss ein Opfer in einem Browser-Fenster bei Google Mail angemeldet sein. Schafft es ein Angreifer nun, den Anwender auf eine manipulierte Webseite zu locken, können beliebige Filterregeln in Google Mail angelegt werden, ohne dass der Nutzer davon etwas bemerkt. Solch ein Filter kann etwa jede E-Mail an eine bestimmte Adresse weiterleiten, so dass ein Fremder alle über Google Mail versendeten Nachrichten mitlesen kann.

Bisher hat Google das Sicherheitsleck nicht geschlossen. Petkov sieht eine große Gefahr hinter dem Sicherheitsleck, weil ein eingeschleuster Filter auch nach Beseitigung des Sicherheitslochs weiter aktiv bleibt.

Kommentarübersicht
Wie sieht der Filter aus?
Meerblickzimmer 29. Sep 2007

Hallo! Gibt es eigentlich ein "Standardaussehen" für den kritischen Filter? Nicht das...

Re: Sicherheitslücke DAU
ich,mv 28. Sep 2007

operafan, soviel Dummheit und Ignoranz ist echt kaum auszuhalten...

Re: Ist zu vernachlässigen...
Patte 28. Sep 2007

So ein Unsinn! Woher willst Du denn wissen, ob Du eine Mail an GMail-Empfänger sendest...

Re: wie das funktioniert... siehe...
Alex_M 27. Sep 2007

du bist der beste. wir sind alle stolz auf dich.

wie das funktioniert... siehe...
sk_ 27. Sep 2007

http://blog.beford.org/?p=3 hab ich bereits um 12:30 in dem thema "full disclosure...

Kommentieren

Trackbacks

nexem.info - Der News-Blog / 01. Okt 2007

Sicherheitsloch in Google Mail geschlossen

Kartenlegen / 27. Sep 2007

Sicherheitsloch bei Gmail-E-Mails

So nicht! Blog / 27. Sep 2007

Googlemail Sicherheitsleck... Mist!

Anzeige
Stellenmarkt
  1. Abteilungsleiter (m/w) IT-Infrastruktur und IT-Services
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Linux-Integrator (m/w)
    Brunel GmbH, Hannover
  3. Technical Consultant Mobile Anwendungen (m/w)
    BayWa AG, München
  4. IT-Prozessmodelliererin/IT-P- rozessmodellierer
    Otto-von-Guericke-Universität Magdeburg, Magdeburg

 

Detailsuche

Folgen Sie uns
       
Videos
3D-Visualisierung von Erdbebengebieten 3D-Visualisierung von Erdbebengebieten
Meistgelesen
  1. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  2. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab
  3. Spielebranche

    Diskussion über "stinkende Gamer"
  4. Desktop-Roadmap

    Mozilla hat mit Firefox 2012 viel vor
  5. Paypal

    Nutzern von Kino.to drohen Strafverfahren
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 187 | letzter Beitrag 01:43 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 178 | letzter Beitrag 13.02. 22:01

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 116 | letzter Beitrag 13.02. 18:47

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 13.02. 16:40

Mehr

Ticker
  1. Jugendschutz

    Filtersoftware von Jusprog und Telekom staatlich anerkannt

  2. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

  3. Deutsche Post

    Zusatzfunktionen beim E-Postbrief dauern länger

  4. Gnome

    Neue Spezifikation für Fensterlayout

  5. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

  6. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab

  7. Appmenu Runner

    Head-Up Display auch in KDE

  8. Galaxy S2 mit Android 2.3.6

    Update wegen Abstürzen zurückgezogen?

  9. Fair Labor Association

    Apple lässt Foxconn überprüfen

  10. 802.11ac

    Broadcom will Chips für Gigabit-WLAN noch 2012 liefern

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

WOA - Windows on ARM
WOA: Windows 8 für ARM im Detail
WOA
Windows 8 für ARM im Detail

Mit Windows on ARM (WOA) will Microsoft ein neues System mit einer ganz neuen Art von PCs etablieren. Damit Windows 8 auf ARM performant läuft und lange Akkulaufzeiten ermöglicht, musste Microsoft einige Kompromisse machen.

  1. Windows 8 auf ARM Microsoft zeigt Office 15
X-Plane
Test X-Plane 10: Flugsimulator mit Openstreetmap und vielen Rechnern
Test X-Plane 10
Flugsimulator mit Openstreetmap und vielen Rechnern

Ernsthafte Flugsimulationen gibt es kaum noch. Eine der letzten verbliebenen ist X-Plane 10 für Windows, Mac OS X und Linux. Golem.de hat sich ins virtuelle Cockpit gesetzt und den Flugsimulator mit mehreren Rechnern und iPads als Instrumente gespielt.

Suchmaschine
Bing, Blekko, Duck Duck Go: Googeln ohne Google?
Bing, Blekko, Duck Duck Go
Googeln ohne Google?

Die überarbeitete Version der Google-Suche "Search, plus Your World" hat heftige Debatten ausgelöst. Vor allem der Datenschutz steht mal wieder im Vordergrund der Kritik. "Geht es eigentlich auch ohne Google?", fragen sich daher viele Nutzer. Der Blogger Marcel Weiß hat es 18 Monate lang getestet.

  1. "Focus on the User" Facebook und Twitter zeigen Google, wie soziale Suche geht
  2. Neuer Algorithmus Google straft Seiten mit zu viel Werbung ab
  3. Theseus-Projekt Quote soll die erste Zitate-Suchmaschine Deutschlands werden
Forumsbeiträge »
  1. Spielebranche Diskussion über "stinkende Gamer"

    Re: Die Branche hat ganz andere Probleme...

    amp amp nico | 04:20

  2. Gerüchte Apple will alle Notebooks dünner machen

    Apples neues MacBook ist ein teures Eee Pad...

    Der Kaiser! | 04:17

  3. Desktop-Roadmap Mozilla hat mit Firefox 2012 viel vor

    Re: Was ich bei den geplanten Neuerungen von FF...

    Der Kaiser! | 04:07

  4. Spielebranche Diskussion über "stinkende Gamer"

    Re: "Stinkende Gamer verursachen Shitstorm"

    Der Kaiser! | 03:54

  5. Spielebranche Diskussion über "stinkende Gamer"

    Re: Natürlich stinken wir!

    Der Kaiser! | 03:50

Ticker »
  1. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    19:07

  2. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    18:55

  3. Deutsche Post Zusatzfunktionen beim E-Postbrief dauern länger

    18:06

  4. Gnome Neue Spezifikation für Fensterlayout

    17:53

  5. Samsung Galaxy Tab 2 7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

    17:26

  6. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    16:49

  7. Appmenu Runner Head-Up Display auch in KDE

    16:25

  8. Galaxy S2 mit Android 2.3.6 Update wegen Abstürzen zurückgezogen?

    16:20

Zum Artikel