Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind - denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.
Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch - in der URL - der Code mit dem das Dokument geöffnet werden kann - obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden - dann auch ohne Zugangscode.
--
Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen - aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen - der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?
Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.
Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.
Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.
--
Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.
» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)
[smime, thx to: Helge]
Schlagwort: sicherheitslücke
Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind - denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.
Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch - in der URL - der Code mit dem das Dokument geöffnet werden kann - obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden - dann auch ohne Zugangscode.
--
Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen - aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen - der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?
Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.
Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.
Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.
--
Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.
» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)
[smime, thx to: Helge]
Vor wenigen Tagen haben Nutzer über eine Sicherheitslücke in Googles eMail Dienst Google Mail berichtet. Nun nimmt Google zu dieser Stellung und sagt, dass es keine derartige Lücke in Google Mail gibt.
Wie Chris Evans im Google Security Blog schreibt, habe man die Spekulationen gesehen. Weiter heißt es, dass man bei Google sehr auf die Sicherheit der Produkte achtet und bei solchen Berichten schnell reagiert. Als Ergebnis der Untersuchung der möglichen Sicherheitslücke in Google Mail hat man festgestellt, dass es keine derartige Lücke in Google Mail gibt.
Häufig gingen Angreifer auch so vor: Nutzer bekommen eine gefälschte Mail mit einem Link zu Seiten wie google-hosts.com. Dort sollen sie sich dann einloggen. Die Betreiber der Seite stehen in keiner Verbindung zu Google und speichern die Daten wie Passwort und Benutzernamen. Mit diesen Daten loggen sich die Angreifer dann in Google Mail ein und setzen das Passwort einer Domain zurück oder erstellen einen Filter. Das liegt aber schon fast ein Jahr zurück.
Google blickt auch noch einmal auf die Lücke aus dem September 2007 zurück, die man in weniger als 24 Stunden geschlossen hatte.
Auch habe man gemerkt, wie vielen Menschen Google Mail sehr wichtig ist. Daher versuche man dieses so sicher wie möglich zu machen. Chris Evans empfiehlt die https:// Option in Google Mail zu aktivieren und wenn man sich einloggt darauf zu achten, dass man sich auch https://accounts.google.com befindet.
» Google Mail security and recent phishing activity
Durch eine Sicherheitslücke in Google Mail soll es Hackern möglich sein, einen Filter zu erstellen und so alle Mails an eine andere Adresse weiterzuleiten. Derzeit gibt es Berichte wonach man diese Erfolgreich ausgenutzt hat um Domains zu stehlen.
Die Lücke soll auf eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) beruhen und durch eine präparierte Webseite den Filter in Google Mail setzt. Allerdings muss sich das Opfer neu in Google Mail einloggen und in einem zweiten Fenster die präparierte Webseite offen haben.
Sobald der Filter gesetzt ist, nutzt der Angreifer die Passwort Zurücksetzen Funktion des Domainproviders und kann sich dann beim Anbieter einloggen und somit die komplette Webseite verändern.
Insgesamt ähnelt die Lücke in Google Mail einer Lücke aus dem September 2007, die eigentlich geschlossen sein soll.
Die wahrscheinliche Ursache liegt aber in der Art wie Google Mail Anfragen verarbeitet. Google Mail soll nach Analysen immer noch eine sitzungsbezogene statt einer request-bezogenen Authentifizierung verwenden. Bei einer request-bezogenen Authentifizierung müsste der Angreifer die bestimmte ID für einen gültigen HTTP-Request erraten.
[heise]
Google hat ein Sicherheitsupdate für Android veröffentlicht. Das Update schließt eine Lücke im Browser, der wie Google Chrome auf Webkit basiert. Vor wenigen Tagen hatten Sicherheitsexperten eine Lücke gemeldet, die man durch eine speziell präparierte Webseite ausnutzen konnte, um Schadcode einzuschleusen.
Wie Google sagte, wäre der Schaden durch die Sicherheitsfeatures von android gering gewesen. Google verfolgt im OpenSource Projekt den Ansatz, dass jedes Programm in einer eigenen Sandbox läuft. Dadurch können Angreifer ein Android Handy nicht komplett "übernehmen".
Experten warnten aber davor, dass Hacker die Lücke dazu nutzen können, Passwörter und andere vertrauliche Daten abzugreifen.
Am Wochenende wurde die ersten Sicherheitslücke in Googles Handybetriebssystem Android entdeckt. Experten der Firma Independent Security Evaluators (ISE) haben ein gravierendes Loch in der OpenSource Software entdeckt. Ihnen sei es gelungen durch eine präparierte Webseite Schadecodes auf das Handy zu schleusen.
ISE habe einen zuverlässigen Exploit zum Ausnutzen der Lücke entwickeln können. Als Ursache nannten die Experten - ohne exakte Angaben zu machen - eine veraltete Version eines Open-Source-Paket.
Komplette Kontrolle über das Handy bekommen die Angreifer aber nicht. Google verfolgt den Ansatz jede Anwendung als eigene Sandbox laufen zu lassen. Dies soll mögliche Sicherheitslecks isolieren. Allerdings könnte ein Trojaner im Webkit-Browser zum Beispiel Passwörter oder andere vertrauliche Daten abfangen.
Google wurde über die Lücke informiert und soll diese bereits geschlossen haben. Derzeit bereite man mit T-Mobile ein Update vor.
[heise]
Einige Tage nach der Veröffentlichung von Share with Friends im Google Reader wurden Stimmen laut, dass Google mehr oder weniger wahllos Menschen mit denen man zwei, dreimal gemailt hat, als "Freunde" versteht und diese dann im Reader die geteilten Einträge des anderen sehen können.
Grund war übrigens Google Mail Contacts. Diese hat man nun bearbeitet und schlägt nun die Kontakte nur noch vor ohne sie ins richtige Adressbuch zu übernehmen.
Problem sehe ich immer noch dabei, dass man das Adressbuch nicht in zwei Teile spalten kann: Eines Freunde - das andere Geschäftlich.
Was Freunde sind bestimmt der Nutzer selber und so wäre diese Sicherheitslücke gefixt.
[Golem, thx to: urmelchen; readwriteweb.com]
vs.
Auch wenn viele Google Mail-Nutzer für ihre Mail-Adresse ihre echten Namen verwenden, so ist dieser doch bisher immer Top-Secret gewesen. Durch einen kleinen Trick ist es jetzt aber möglich, den vollständigen Namen der Person herauszufinden die hinter der Google Mail-Adresse steckt. Dazu muss man im Grunde nur einen Kalender in Google Calendar hinzufügen.
Um den vollständigen Namen hinter einer Adresse herauszufinden, müsst ihr nur einen neuen Kalender anlegen, freigeben und die betreffende Person einladen. Gibt man hier eine Google Mail-Adresse ein und lädt die Seite dann neu, erscheint direkt über der eMail-Adresse der vollständige Name der Person. Vorausgesetzt ist natürlich dass die Person diesen Namen bei der Registrierung eingegeben hat - aber das dürften die meisten getan haben.
Das ist jetzt nicht wirklich eine Sicherheitslücke, aber dafür dass Google diese Information für unberechtigte eigentlich geheim halten wollte, kommt man doch recht einfach an die Namen heran. Wird sicherlich in den nächsten Tagen gefixt werden, also wenn ihr euch immer mal für den Namen hinter einer Adresse interessiert habt, müsst ihr euch beeilen ;-)
[heise, thx to: urmelchen]
In der vor 7 Tagen eingeführten Funktion Notes im Google Reader, gibt es eine Lücke, die es jedem erlaubt Falschmeldungen an seine Freunde zu verteilen.
Über den Share with notes Dialog kann man sowohl die Überschrift, als auch die Vorschau bearbeiten. So wird zum Beispiel aus dem Tipp zu IMAP mit Thunderbird ganz einfach eine Meldung, dass Google Mozilla gekauft hat. Den Link der Nachricht kann man aber nicht bearbeiten:
Die Freunde sehen dann das:
Wenn man schon den Text bearbeiten kann, sollten die Freunde dann wenigstens einen Hinweis darauf erhalten, bspw. "Your friend edited the snippet, please visit the page to see the original."
Oder einfach den Text in einer leichten nicht aufdringlichen Farbe unterlegen.
Mal gespannt ob und wann Google reagiert.
Forscher das amerikanisch-brasilianischen Information Security Research Team habe in Google Mail eine Sicherheitslücke entdeckt, die es Spammern leicht macht ihre Nachrichten zu verbreiten.
Vor einiger Zeit habe ich über die Google Mail Limits geschrieben. Über das Webinterface kann man eine Nachricht maximal an 500 Empfänger versenden. Durch eine Sicherheitslücke gelang es den Experten über ein Proof-of-Concept-Programm aber eine Spam an mehr als 4000 Nutzer zu adressieren. (mehr als 8-mal so viele).
Auf die genaueren Details gingen die Forscher nicht ein. Allerdings gaben sie bekannt, dass sie bei ihren Versuchen den Weiterleitungsmechanismus von Google Mail ausgenutzt haben.
So sei es ihnen möglich gewesen, ihrer Mail einen belieben Absender mitzuschicken. Die meisten Spamfilter schätzen Google Mails als sicherer ein und somit warr der Weg frei in die Inbox.
Bei den Test nutzten die Forscher nur ein Google Mail Konto und verschickten alle 5,5 Sekunden eine Nachricht.
Über die kleine Leistung eines Bot-Netzes könne man die Senderate erheblich steigern.
Google wurde bereits benachrichtigt. Exakte Details werden erst bekanntgegeben wenn die Lücke geschlossen ist.
[heise]
Vor einer Woche wurde eine von Billy Rios entdeckte Sicherheitslücke geschlossen. Der selbe Sicherheitsexperte hat nun eine Lücke in Google Docs gefunden.
Die Lücke befindet sich in Spreadsheets und erlaubt es alle Cookies des Angegriffenen zu stehlen. Laut Rios reicht es eine manipulierte Datei mit dem Internet Explorer zu öffnen. Der Grund, dass das ganze überhaupt funktioniert, ist ein vom Browser ignorierter content-type-Header in HTTP-Antworten vom Server.
Auch mit anderen Browsern zum Beispiel dem Firefox oder Safari war es Rios möglich alle Cookies zu stehlen. Mit den Google Cookies konnte er sich ohne Passwort bei fremden Accounts einloggen. Bei den anderen Browsern ging es aber nicht immer.
Wie schon beim letzten Mal hat Rios den Fehler an die Googler gemeldet, die die Lücke mitterweile geschlossen haben.
» Posting in Rios Blog
[Winfuture; heise, thx to: Felix]