Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.
Schlagwort: sicherheitslücke
Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.
Google hat soeben ein Sicherheitsupdate für Chrome veröffentlicht. Die Version 17.0.963.78 schließt eine Sicherheitslücke, die im Rahmen des Pwnium-Wettbewerbs entdeckt wurde. Der Entdecker bekommt für diesen Full-Exploit 60.000 Dollar von Google.
Ab dem 7. März findet in Vancouver der diesjährige Pwn2Own-Contest statt. Wie erwartet hat Google noch einmal vorher ein Sicherheitsupdate für Chrome veröffentlicht. Es bringt Korrekturen für zahlreiche Sicherheitslücken, die Google bis zu 10.000 Dollar wert sind.
Gleich zwei Sicherheitslücken sind in den letzten Tagen bei Google Wallet aufgetaucht. Beide beziehen sich auf die PIN-Eingabe von Wallet und können diese aushebeln. Zum einen handelt es sich um eine Android-App die den aktuellen PIN auslesen kann, bei der anderen Sicherheitslücke kann der PIN sogar neu überschrieben werden.
Diese Woche hat Google rund 50 Apps aus dem Market entfernt, die Schadsoftware enthalten. Nun hat sich Google zur Sache ausführlich geäußert und die unternommen Schritte beschrieben. Wer die Apps installiert hat, braucht eigentlich nichts zu tun. Diese Apps wird Google in den nächsten 72 Stunden aus der Ferne löschen. Betroffene Nutzer erhalten darüber eine Mail. Alle Details...
Der britische IT-Sicherheitsexperte Thomas Cannon weist in seinem Blog auf eine Sicherheitslücke im Betriebssystem Android hin, die es über den Aufruf einer präparierten HTML-Seite im Browser erlaubt, Zugriff auf lokale Dateien (z. B. auf einer eingelegten SD-Karte) zu gewinnen. Google ist über das Problem informiert, wird die Lücke aber nicht kurzfristig schließen.Das Leck tritt offenbar bei allen Android-Versionen (einschließlich Froyo) auf - sagt zumindest heise online. Ein Zugriff auf Systemverzeichnisse ist über den Browser nicht möglich, da dieser abgeschirmt in einer Sandbox läuft. Kennt ein Angreifer den kompletten Pfad und den Namen einer Datei auf einem Android-Gerät, kann er diese unter Ausnutzung der Lücke von dort "herunterladen". Hierbei kann es sich neben Fotos auch z. B. um sensible Anwendungsdaten handeln.
heise konnte den Prozess reproduzieren. Eine auf der Speicherkarte eines Testgeräts liegende Textdatei wurde nach dem Aufruf einer von Cannon bereitgestellten Seite im Browser auf dessen Server übertragen. Die präparierte Seite ließ den Browser hierzu eine HTML-Datei herunterladen und leitete ihn dann auf diese um. Da die Datei lokal verfügbar war, wurde sie mit lokalen Rechten ausgeführt, was dem enthaltenen JavaScript erlaubte auf das Dateisystem des Geräts zuzugreifen und die angeforderte Datei zu übertragen. Hierzu gibt es auch eine Video-Demo.
Vom Herunterladen der speziellen HTML-Datei bekommt der Nutzer fast nichts mit. Im Browser erscheint lediglich ganz kurz eine Meldung, die aber sofort wieder verschwindet. Daher kann man sein Android-Gerät momentan nur vor solchen Angriffen schützen, indem man JavaScript deaktiviert oder einen alternativen Browser (wie Opera Mobile) verwendet, der vor dem Download von Dateien zunächst fragt. Es gäbe allerdings auch andere Wege, die schädliche Datei einzuschleusen - z. B. als Mail-Anhang.
Google hat bereits einen Patch entwickelt, der die Sicherheitslücke schließen kann. In der kommenden Android-Version 2.3 (Gingerbread) wird er nicht enthalten sein. Es kann noch eine Weile dauern, bis ein entsprechendes Update verfügbar ist.
Wie TechCrunch berichtet, gibt es bei Blogger eine Sicherheitslücke mit der man dem Besucher eine Mail senden kann, wenn dieser mit in einem Google Account bzw. Google Mail eingeloggt ist. Der Entdecker dieser Lücke stammt aus Armenien und habe Google schon mehrfach auf die Lücke hingewiesen. Google hat die Lücke inzwischen geschlossen.
Auf einem Blog bei Blogpost.com baute der Hacker einen Code ein, der dem Besucher eine Mail an seinen Google Account schickt. Diese sah wie folgt aus:
Google hat auf das Posting von TechCrunch reagiert und mitgeteilt, dass das Team bereits das Problem untersuche. Die Lücke sei bereits geschlossen. Die Lücke wurde in der Google Apps Script API entdeckt. Diese nutzte die speziell erstellte Webseite aus, um den Besuchern eine Mail zu schicken. Dies ging aber nur, wenn der Besucher gleichzeitig in einem Google Account einloggt ist. Diese Mails wurden dann über die API verschickt. Google hat den Blog sofort offline genommen und die Funktion wenig später deaktiviert.
Für Facebook wäre das wohl eine Feature gewesen und keine Sicherheitslücke. ;-)
Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind - denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.
Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch - in der URL - der Code mit dem das Dokument geöffnet werden kann - obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden - dann auch ohne Zugangscode.
--
Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen - aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen - der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?
Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.
Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.
Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.
--
Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.
» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)
[smime, thx to: Helge]
Vor wenigen Tagen haben Nutzer über eine Sicherheitslücke in Googles eMail Dienst Google Mail berichtet. Nun nimmt Google zu dieser Stellung und sagt, dass es keine derartige Lücke in Google Mail gibt.
Wie Chris Evans im Google Security Blog schreibt, habe man die Spekulationen gesehen. Weiter heißt es, dass man bei Google sehr auf die Sicherheit der Produkte achtet und bei solchen Berichten schnell reagiert. Als Ergebnis der Untersuchung der möglichen Sicherheitslücke in Google Mail hat man festgestellt, dass es keine derartige Lücke in Google Mail gibt.
Häufig gingen Angreifer auch so vor: Nutzer bekommen eine gefälschte Mail mit einem Link zu Seiten wie google-hosts.com. Dort sollen sie sich dann einloggen. Die Betreiber der Seite stehen in keiner Verbindung zu Google und speichern die Daten wie Passwort und Benutzernamen. Mit diesen Daten loggen sich die Angreifer dann in Google Mail ein und setzen das Passwort einer Domain zurück oder erstellen einen Filter. Das liegt aber schon fast ein Jahr zurück.
Google blickt auch noch einmal auf die Lücke aus dem September 2007 zurück, die man in weniger als 24 Stunden geschlossen hatte.
Auch habe man gemerkt, wie vielen Menschen Google Mail sehr wichtig ist. Daher versuche man dieses so sicher wie möglich zu machen. Chris Evans empfiehlt die https:// Option in Google Mail zu aktivieren und wenn man sich einloggt darauf zu achten, dass man sich auch https://accounts.google.com befindet.
» Google Mail security and recent phishing activity
Durch eine Sicherheitslücke in Google Mail soll es Hackern möglich sein, einen Filter zu erstellen und so alle Mails an eine andere Adresse weiterzuleiten. Derzeit gibt es Berichte wonach man diese Erfolgreich ausgenutzt hat um Domains zu stehlen.
Die Lücke soll auf eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) beruhen und durch eine präparierte Webseite den Filter in Google Mail setzt. Allerdings muss sich das Opfer neu in Google Mail einloggen und in einem zweiten Fenster die präparierte Webseite offen haben.
Sobald der Filter gesetzt ist, nutzt der Angreifer die Passwort Zurücksetzen Funktion des Domainproviders und kann sich dann beim Anbieter einloggen und somit die komplette Webseite verändern.
Insgesamt ähnelt die Lücke in Google Mail einer Lücke aus dem September 2007, die eigentlich geschlossen sein soll.
Die wahrscheinliche Ursache liegt aber in der Art wie Google Mail Anfragen verarbeitet. Google Mail soll nach Analysen immer noch eine sitzungsbezogene statt einer request-bezogenen Authentifizierung verwenden. Bei einer request-bezogenen Authentifizierung müsste der Angreifer die bestimmte ID für einen gültigen HTTP-Request erraten.
[heise]
Google hat ein Sicherheitsupdate für Android veröffentlicht. Das Update schließt eine Lücke im Browser, der wie Google Chrome auf Webkit basiert. Vor wenigen Tagen hatten Sicherheitsexperten eine Lücke gemeldet, die man durch eine speziell präparierte Webseite ausnutzen konnte, um Schadcode einzuschleusen.
Wie Google sagte, wäre der Schaden durch die Sicherheitsfeatures von android gering gewesen. Google verfolgt im OpenSource Projekt den Ansatz, dass jedes Programm in einer eigenen Sandbox läuft. Dadurch können Angreifer ein Android Handy nicht komplett "übernehmen".
Experten warnten aber davor, dass Hacker die Lücke dazu nutzen können, Passwörter und andere vertrauliche Daten abzugreifen.
Am Wochenende wurde die ersten Sicherheitslücke in Googles Handybetriebssystem Android entdeckt. Experten der Firma Independent Security Evaluators (ISE) haben ein gravierendes Loch in der OpenSource Software entdeckt. Ihnen sei es gelungen durch eine präparierte Webseite Schadecodes auf das Handy zu schleusen.
ISE habe einen zuverlässigen Exploit zum Ausnutzen der Lücke entwickeln können. Als Ursache nannten die Experten - ohne exakte Angaben zu machen - eine veraltete Version eines Open-Source-Paket.
Komplette Kontrolle über das Handy bekommen die Angreifer aber nicht. Google verfolgt den Ansatz jede Anwendung als eigene Sandbox laufen zu lassen. Dies soll mögliche Sicherheitslecks isolieren. Allerdings könnte ein Trojaner im Webkit-Browser zum Beispiel Passwörter oder andere vertrauliche Daten abfangen.
Google wurde über die Lücke informiert und soll diese bereits geschlossen haben. Derzeit bereite man mit T-Mobile ein Update vor.
[heise]