Google ist zurzeit nicht ganz dicht: Sowohl Mails als auch Picasa-Bilder können von Angreifern kopiert werden.

Der hier ja schon oft erwähnte Petko D. Petkov (pdp) hat auch diese Woche wieder eine Schwachstelle gefunden. Diesmal ist Google Mail betroffen: Eine Cross-Site-Request-Forgery-Schwachstelle erlaubt die Manipulation von Einstellungen, wenn während einer aktiven Webmail-Sitzung eine präparierte Webseite besucht wird. Ein Angreifer kann dem Opfer so z.B. eine Filtereinstellung unterschieben, die alle ein- und ausgehenden Mails an den Angreifer weiterleitet. Details wurden wie schon letzte Woche bei der Schwachstelle im Adobe Reader nicht veröffentlicht, die werden nachgereicht, wenn Google die Schwachstelle behoben hat. Als Gegenmaßnahme bleibt nur, während einer Webmail-Sitzung keine anderen Webseiten zu besuchen.

Eine inzwischen behobene Cross-Site-Scripting-Schwachstelle in den Blogspot-Polls erlaubte übrigens ebenfalls die Umleitung aller empfangenen Mails an eine andere Mailadresse.

Billy Rios und Nate McFeters haben mehrere Schwachstellen gefunden, die ein Angreifer insgesamt ausnutzen kann, um Bilder von der Festplatte der Benutzer von Googles Picasa zu kopieren. Der Angriff nutzt die bei der Installation von Picasa registrierte picasa://-URI und eine Kombination von Cross-Site- und Cross-Application-Scripting aus. Ausgelöst wird der Angriff, wenn ein Benutzer eine präparierte Webseite besucht: Dem Benutzer wird ein wichtiges Picasa-Update angezeigt, das angeblich über einen Button heruntergeladen wird. Tatsächlich wird er nach Klick auf den Button jedoch auf einen bösartigen Server umgeleitet, der dann die Bilder von der Festplatte kopiert. Währenddessen täuscht ein gefälschter Fortschrittsbalken den Download des angeblichen Updates vor. Gegenmaßnahmen gibt es nicht: Zwar könnte die URI-Registrierung gelöscht werden, aber dann funktioniert Picasa nicht mehr richtig. Wer also Picasa nutzen möchte, muss das Risiko des Bilderdiebstahls in Kauf nehmen.

Außerdem gibt es noch offene Cross-Site-Scripting-Schwachstellen in Googles Search Appliance und der Login-Seite von Urchin Web Analytics 5.

Da muss wohl mal jemand den Klempner zum Abdichten rufen ...

Anonym oder nicht?
Zwei Anonymisierungsdienste sind in letzter Zeit durch fehlende Anonymisierung aufgefallen: Die anonyme Filesharing-Lösung StealthNet und das Anonymisierungsnetz Tor. Während in StealthNet vor Version 0.8.1.3 Designfehler dazu führten, dass Suchbegriffe und angebotene Dateien mit IP-Adressen verknüpft werden konnten, war es bei Tor die leichtfertige Nutzung des Dienstes, durch die präparierte Exit-Nodes Daten sammeln konnten. Gegen Schwachstellen im System kann man als Benutzer nichts machen, gegen falsche Nutzung schon. Im Fall von Tor wird ausdrücklich darauf hingewiesen, dass der Benutzer die Verbindung durch eine Ende-zu-Ende-Verschlüsselung, z.B. über SSL/TLS, absichern soll. Das Tor-Netz anonymisiert zwar die übertragenen Daten, verschlüsselt sie aber nur innerhalb des Netzes. Die Exit-Nodes sehen die Daten gezwungenermaßen im Originalzustand, da sie sie ja so an das eigentliche Ziel weiterleiten müssen - ein idealer Platz für einen Man-in-the-Middle. Wurden die Daten als Klartext gesendet, sehen die Exit-Nodes sie also als Klartext. Verschlüsselt ins Tor-Netz eingespeiste Daten werden natürlich auch ebenso verschlüsselt vom Exit-Node an das Zielsystem weitergeleitet - der Exit-Node kann die Daten nicht ausspähen. So einfach ist das. Und für einige Botschaften und Regierungen wohl schon zu schwer. Und wenn man sich ansieht, wer da alles Exit-Nodes betreibt, ist so ein Verhalten schon mehr als leichtsinnig.

Herr Schäuble mal wieder...
Gestern wollte ich noch schreiben "Um den Bundestrojaner ist es verdächtig ruhig geworden", jetzt legt Herr Schäuble nach und belehrt mich eines besseren. Seine Argumente sind ausgelutschter als ein alter Kaugummi, und neue scheinen ihm nicht einzufallen. Ganz anders sein bayerischer Noch-Amtskollege Beckstein: Der hat Angst vor Terroranschlägen mit Schiffen und ruft nach der Bundesmarine. Haben deren Schiffe inzwischen Räder unterm Kiel, oder wie sollen die nach Bayern kommen? Aber zurück zum Herren Schäuble: Interessant finde ich seine Aussage "Ich mache den Menschen gar keine Angst." Vielleicht nicht, aber versuchen tut er es. Oder wie war das mit der Warnung vor einem Anschlag mit nuklearem Material? Und "Niemand in Deutschland will doch irgend etwas von einem Überwachungsstaat" - Genau, den wollen wir nicht. Aber warum versucht er dann ständig, einen einzurichten? Aber es hatte ja auch im Juni 1961 niemand die Absicht, in Berlin eine Mauer zu errichten. Vorratsdatenspeicherung bei der Telekommunikation, Fingerabdrücke im Personalausweis, Online-Durchsuchung - wieso klingt das bloß alles so nach Überwachungsstaat, wenn es doch gar keiner werden soll?

Carsten Eilers