Google: Sicherheitslücke in Desktop-Suche behoben

Google Desktop Search deckt allerdings Sicherheitsprobleme anderer Software auf

Laut eines Artikels der New York Times hat Google bekannt gegeben, dass eine von der Rice University entdeckte Sicherheitslücke in der seit Oktober 2004 erhältlichen "Google Desktop Search" geschlossen wurde. Die kostenlose Windows-Software erlaubte es Dritten bis vor kurzem, über das Internet unentdeckt die Inhalte fremder PCs zu durchsuchen.

Artikel veröffentlicht am ,

Studenten der Rice University fanden heraus, wie der Google Desktop auf den Computer des Nutzers ausgehende Netzwerkverbindungen abfängt. Sobald die Daten in Richtung Google.com gesendet werden, werden bei Suchanfragen Suchergebnisse von der Suche auf der Festplatte des Nutzers gesendet und diese samt passender Werbung bei Google angezeigt.

Stellenmarkt
  1. Systemadministrator (m/w/d)
    Bayerische Landesärztekammer, München
  2. IT Architect (m/w/d) Managed Services
    Controlware GmbH, Frankfurt am Main
Detailsuche

Mittels einer Java-Anwendung gelang es, den Google Desktop so auszutricksen, dass er seine lokalen Suchergebnisse auch anderen Websites übermittelt. Diese können die Daten dann auswerten. Dazu muss der Nutzer allerdings erst die Website des Angreifers besuchen. Dieser erhält nur die Daten aus den Suchergebnissen, jedoch keinen Zugriff auf die Daten an sich.

Ein bereits am 10. Dezember 2004 veröffentlichtes und automatisch eingespieltes Update soll diese Sicherheitslücke geschlossen haben.

Wie Sicherheitsexperte Bruce Schneier Ende November 2004 für eWeek berichtete, bringt die Google Desktop Search auch andere Sicherheitsprobleme ans Tageslicht, die in der Funktionsweise von Windows und verschiedenen Browsern begründet liegen: Google kann auch geschützte Dateien durchsuchen, weil es den Windows-Cache indexiert, den einige Verschlüsselungsprogramme unglücklicherweise nutzen. Und wenn man die Google Desktop Search für alle Nutzer eines PCs installiere, würden Dokumente und abgerufene Webseiten aller Nutzer angezeigt. Schneier zufolge mache Googles Software nichts falsch, vielmehr würden die Sicherheitslücken im Design des Internet Explorer, von Opera, Firefox, PGP und anderen Anwendungen begründet sein.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

"Zuallererst einmal sollten Web-Browser keine SSL-verschlüsselten Webseiten oder Webseiten mit privaten E-Mails speichern. Wenn sie es tun, sollten sie ihre Nutzer zuvor fragen", so Schneier. In den meisten Browsern lässt sich das Zwischenspeichern von geschützten Webseiten aktivieren und deaktivieren.

Die PC Professionell hat sich die Problematik angesehen und konnte per Google gelesene Webmails oder Online-Banking-Sitzungen selbst nach vollständigem Leeren des Browser-Cache im Suchindex anzeigen. Ebenso seien über den Google-Cache zuvor mit Passwortschutz gespeicherte Word-Dateien sichtbar geworden, obwohl diese zuvor gelöscht wurden.

Die Software Google Desktop Search durchsucht bisher die E-Mail-Postfächer von Outlook Express und Outlook sowie Word-, Excel- und PowerPoint-Dokumente, sofern Microsoft Office ab der Version 2000 installiert ist. Ferner werden aufgerufene Webseiten durchsucht, Gleiches gilt für Chats innerhalb der AOL-Software (ab Version 7.x). Googles Vorstoß in den Desktop-Bereich hat bereits Microsoft dazu animiert, im Dezember 2004 eine eigene Beta-Version einer Desktop-Suche zu veröffentlichen und auch AOL und Yahoo kündigten bereits entsprechende Software an.

Ob die von der Rice-Uni entdeckte Lücke geschlossen wurde, soll ein Blick in die "About"-Informationen des in der Taskbar angezeigten Google-Desktop-Icons zeigen: Wenn die Versionsnummer über 121.004 liege, so sei die Sicherheitslücke bereits per automatischen Update geschlossen worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Marc Seibert 09. Mär 2005

Wann sieht google endlich ein, daß zu einer sinnvollen Suchanfrage die Möglichkeit...

fischkuchen 21. Dez 2004

Ne, is glaubich Javascript ;) mfG fischkuchen

Bibabuzzelmann 21. Dez 2004

Das ist ja Hexerei *gg*

fischkuchen 21. Dez 2004

Da erinner ich mich dunkle dran. Das funktionierte wohl so, dass die Seite dir deinen...

Bibabuzzelmann 20. Dez 2004

hm...da hast du aber lang gebraucht *gg* Es gibt Ausnahmen, aber wenn man den Teufel...



Aktuell auf der Startseite von Golem.de
Treibstoffe
E-Fuels-Produktion in der Praxis

Über E-Fuels, also aus Ökostrom hergestellte Kraftstoffe, wird viel diskutiert. Real produziert werden sie bislang kaum.
Von Hanno Böck

Treibstoffe: E-Fuels-Produktion in der Praxis
Artikel
  1. Klimaschutz: Verbrennerkauf - warum der Verkehrsminister Recht hat
    Klimaschutz
    Verbrennerkauf - warum der Verkehrsminister Recht hat

    Bundesverkehrsminister Volker Wissing (FDP) warnt vor dem Kauf neuer Autos mit Verbrennungsmotor, weil fossile Brennstoffe keine Lösung sind - auch nicht als E-Fuels.
    Ein IMHO von Andreas Donath

  2. VR/AR: Apple stößt bei seiner Brille wohl auf massive Probleme
    VR/AR
    Apple stößt bei seiner Brille wohl auf massive Probleme

    Das VR-AR-Brillen-Projekt von Apple soll in Schwierigkeiten stecken. Die Prototypen überhitzen, was den Marktstart 2022 gefährdet.

  3. Elektromobilität: Renault will ab 2030 in Europa nur noch E-Autos anbieten
    Elektromobilität
    Renault will ab 2030 in Europa nur noch E-Autos anbieten

    Renault will bis 2030 den Umstieg zum reinen Elektroauto-Anbieter schaffen. Ein kleines Schlupfloch gibt es nur für Dacia.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /