Sicherheitsloch in Googles E-Mail-Dienst Gmail
Wie das israelische Magazin Nana NetLife(öffnet im neuen Fenster) unter Berufung auf den israelischen Hacker Nir Goldshlagger berichtet, konnten sich Angreifer Zugang zu einem lokalen Cookie verschaffen und erlangten so Zugriff auf das entsprechende Gmail-Postfach.
Zur Ausnutzung dieses Sicherheitslochs muss ein Angreifer sein Opfer dazu bringen, einen manipulierten Link zu öffnen, der in einer Webseite, einer E-Mail oder einem Dokument eingebettet sein kann. Dann wird darin enthaltener Active-Scripting-Code ausgeführt, um auf die lokale Cookie-Datei zuzugreifen und so ohne Eingabe des Kennwortes auf das Gmail-Postfach des Opfers zugreifen zu können. Damit erhält ein Angreifer ohne Passwort umfassenden Zugriff auf den Gmail-Zugang und kann E-Mails lesen, beantworten, löschen sowie versenden.
Wie eine Google-Specherin dem US-Magazin InfoWorld(öffnet im neuen Fenster) mitteilte, ist das Sicherheitsloch in Gmail mittlerweile behoben, so dass derartige Attacken nicht mehr möglich sind. Das entdeckte Sicherheitsloch hat einen Fehler im Autorisierungsprozess von Gmail offenbart, da Angreifer ohne die Eingabe eines Kennwortes Zugang zu dem Postfach erlangen konnten.
Hatte sich ein Angreifer eine Cookie-Datei unter den Nagel gerissen, hätte nach Angaben von Nir Goldshlagger auch eine spätere Änderung des Gmail-Kennwortes keine Abhilfe gebracht. Der Angreifer hätte dennoch weiterhin auf ein GMail-Postfach zugreifen können. Nach wie vor kann Gmail nur von einer ausgewählten Schar von Leuten genutzt werden, da man für eine Nutzung gezielt eingeladen werden muss. Eine breite Verfügbarkeit von Gmail für jedermann gibt es nach wie vor nicht und es liegt auch kein Termin fest, wann Google damit offiziell starten will.