GoogleWatchBlog

D & S-Sicherheitslücke: Private Bilder öffentlich zugänglich

» Web-Version «

In Googles Office-Anwendung Docs & Spreadsheets wurde eine schwere Sicherheitslücke gefunden die aufzeigt dass Dokumente die als „privat“ gekennzeichnet sind doch nicht so ganz privat sind wie gedacht. Dies gilt zumindest für die in das Dokument eingebetteten Bilder und Fotos, diese sind nämlich separat gespeichert und für jedermann zugänglich – auch ohne Zugangsberechtigung.

Jedes Bild ist zugänglich
Jedes in das Dokument eingebettete Bild wird direkt auf dem Server gespeichert und ist von anfang an öffentlich zugänglich, auch wenn das eigentliche Dokument als privat markiert ist. Glücklicherweise sind die Bilder mit einer langen Zahlenreihe benannt aus der nicht offensichtlich wird zu welchem Account oder Dokument das Foto gehört. Dadurch ist es natürlich auch nur Glückssache, durch ausprobieren geheime Fotos zu finden – mit einem automatischen Script wäre das aber natürlich kein Problem.

Nichts wird gelöscht
Die in dem Dokument enthaltenen Fotos haben nicht nur keine Zugangsberechtigungs-Kontrolle, sondern scheinen auch sonst nicht wirklich mit dem Dokument quer verbunden zu sein. Wird ein Dokument gelöscht und aus dem Papierkorb entfernt, bleibt es trotzdem noch weiterhin auf dem Server und ist über die entsprechende URL auch nach mehreren Tagen noch zugänglich.

Ob das nun ein Bug ist oder Google diese Bilder alle paar Wochen automatisch löscht ist zur Zeit noch nicht geklärt. Ich habe das ganze jetzt einmal selbst ausprobiert und bin gespannt wann mein hochgeladenes Foto vom Server verschwinden wird – tippen tu ich darauf dass es auch in einigen Monaten noch dort zu finden ist… Der Datenhunger kennt halt keine Grenzen 😉

[Google OS]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren