Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.
Schlagwort: sicherheitslücke
Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.
Google hat soeben ein Sicherheitsupdate für Chrome veröffentlicht. Die Version 17.0.963.78 schließt eine Sicherheitslücke, die im Rahmen des Pwnium-Wettbewerbs entdeckt wurde. Der Entdecker bekommt für diesen Full-Exploit 60.000 Dollar von Google.
Ab dem 7. März findet in Vancouver der diesjährige Pwn2Own-Contest statt. Wie erwartet hat Google noch einmal vorher ein Sicherheitsupdate für Chrome veröffentlicht. Es bringt Korrekturen für zahlreiche Sicherheitslücken, die Google bis zu 10.000 Dollar wert sind.
Gleich zwei Sicherheitslücken sind in den letzten Tagen bei Google Wallet aufgetaucht. Beide beziehen sich auf die PIN-Eingabe von Wallet und können diese aushebeln. Zum einen handelt es sich um eine Android-App die den aktuellen PIN auslesen kann, bei der anderen Sicherheitslücke kann der PIN sogar neu überschrieben werden.
Diese Woche hat Google rund 50 Apps aus dem Market entfernt, die Schadsoftware enthalten. Nun hat sich Google zur Sache ausführlich geäußert und die unternommen Schritte beschrieben. Wer die Apps installiert hat, braucht eigentlich nichts zu tun. Diese Apps wird Google in den nächsten 72 Stunden aus der Ferne löschen. Betroffene Nutzer erhalten darüber eine Mail. Alle Details...
Der britische IT-Sicherheitsexperte Thomas Cannon weist in seinem Blog auf eine Sicherheitslücke im Betriebssystem Android hin, die es über den Aufruf einer präparierten HTML-Seite im Browser erlaubt, Zugriff auf lokale Dateien (z. B. auf einer eingelegten SD-Karte) zu gewinnen. Google ist über das Problem informiert, wird die Lücke aber nicht kurzfristig schließen.Das Leck tritt offenbar bei allen Android-Versionen (einschließlich Froyo) auf - sagt zumindest heise online. Ein Zugriff auf Systemverzeichnisse ist über den Browser nicht möglich, da dieser abgeschirmt in einer Sandbox läuft. Kennt ein Angreifer den kompletten Pfad und den Namen einer Datei auf einem Android-Gerät, kann er diese unter Ausnutzung der Lücke von dort "herunterladen". Hierbei kann es sich neben Fotos auch z. B. um sensible Anwendungsdaten handeln.
heise konnte den Prozess reproduzieren. Eine auf der Speicherkarte eines Testgeräts liegende Textdatei wurde nach dem Aufruf einer von Cannon bereitgestellten Seite im Browser auf dessen Server übertragen. Die präparierte Seite ließ den Browser hierzu eine HTML-Datei herunterladen und leitete ihn dann auf diese um. Da die Datei lokal verfügbar war, wurde sie mit lokalen Rechten ausgeführt, was dem enthaltenen JavaScript erlaubte auf das Dateisystem des Geräts zuzugreifen und die angeforderte Datei zu übertragen. Hierzu gibt es auch eine Video-Demo.
Vom Herunterladen der speziellen HTML-Datei bekommt der Nutzer fast nichts mit. Im Browser erscheint lediglich ganz kurz eine Meldung, die aber sofort wieder verschwindet. Daher kann man sein Android-Gerät momentan nur vor solchen Angriffen schützen, indem man JavaScript deaktiviert oder einen alternativen Browser (wie Opera Mobile) verwendet, der vor dem Download von Dateien zunächst fragt. Es gäbe allerdings auch andere Wege, die schädliche Datei einzuschleusen - z. B. als Mail-Anhang.
Google hat bereits einen Patch entwickelt, der die Sicherheitslücke schließen kann. In der kommenden Android-Version 2.3 (Gingerbread) wird er nicht enthalten sein. Es kann noch eine Weile dauern, bis ein entsprechendes Update verfügbar ist.
Wie TechCrunch berichtet, gibt es bei Blogger eine Sicherheitslücke mit der man dem Besucher eine Mail senden kann, wenn dieser mit in einem Google Account bzw. Google Mail eingeloggt ist. Der Entdecker dieser Lücke stammt aus Armenien und habe Google schon mehrfach auf die Lücke hingewiesen. Google hat die Lücke inzwischen geschlossen.
Auf einem Blog bei Blogpost.com baute der Hacker einen Code ein, der dem Besucher eine Mail an seinen Google Account schickt. Diese sah wie folgt aus:
Google hat auf das Posting von TechCrunch reagiert und mitgeteilt, dass das Team bereits das Problem untersuche. Die Lücke sei bereits geschlossen. Die Lücke wurde in der Google Apps Script API entdeckt. Diese nutzte die speziell erstellte Webseite aus, um den Besuchern eine Mail zu schicken. Dies ging aber nur, wenn der Besucher gleichzeitig in einem Google Account einloggt ist. Diese Mails wurden dann über die API verschickt. Google hat den Blog sofort offline genommen und die Funktion wenig später deaktiviert.
Für Facebook wäre das wohl eine Feature gewesen und keine Sicherheitslücke. ;-)