zurück zum Artikel

Webseiten konnten Google-Mail-Kontaktliste klauen

Nicht ganz wie von heise Security vorhergesagt [1] die komplette Mail-Korrespondenz, doch zumindest die Kontaktlisten von Google-Mail-Usern sind quasi öffentlich zugänglich. Wer in einer Mail in seiner GMail-Box einen Link öffnet, riskiert damit, dass die aufgerufene Webseite all seine Kontakte ausliest. Voraussetzung für den Zugriff ist lediglich, dass das Opfer derzeit bei Google Mail angemeldet ist -- was beim Lesen seiner Mail der Fall sein dürfte.

heise Security konnte das Problem in einem kurzen Test nachvollziehen. Es beruht auf der Tatsache, dass Google die Kontaktliste als JavaScript-Code ablegt, der immer unter derselben URL zu erreichen ist. Damit muss eine Web-Seite diese URL nur noch als Script einbinden und anschließend das Feld auslesen -- was bereits eine ganze Reihe von Web-Sites erfolgreich demonstriert. Mittlerweile scheint Google jedoch reagiert zu haben -- zumindest funktionieren die Demos nicht mehr.

Besonders peinlich für den Suchmaschinenriesen ist, dass Jeremiah Grossman in seinem Blog bereits vor genau einem Jahr über dieses Problem berichtet [2] und es an Google gemeldet hatte. Offenbar hat man damals seine Ermahnungen, sensible Daten nicht als JavaScript unter vorhersagbaren URLs abzulegen, nicht ausreichend ernst genommen. (ju [3])


URL dieses Artikels:
http://www.heise.de/-130129

Links in diesem Artikel:
[1] https://www.heise.de/security/artikel/Das-Jahr-2007-Rueckblick-durch-die-Glaskugel-270864.html
[2] http://jeremiahgrossman.blogspot.com/2006/01/advanced-web-attack-techniques-using.html
[3] mailto:ju@ct.de