Google Hacking

17. Januar 2007 von Gast in Google

Unter dem Begriff Google Hacking versteht man eigentlich Googles Informationsflut als Anlaufstelle für Angriffe anderer Seiten zu nutzen. In dem Artikel geht es allerdings um Google`s Sicherheitslücken.

Lange war Google von Sicherheitsproblemen verschont. Doch in der Vergangenheit sind einige Meldungen aufgelaufen, die Sicherheitslücken von Google aufzeigten. Man kann aber sagen, dass kein Softwarehersteller sicher vor Fehlern ist, die sich ungewollt einschleichen oder beim Programmieren eben dieser scheinbar unmögliche Fall gar nicht in Betracht gezogen wurde.

Lange wurde Microsoft mit dem Begriff "Bug" gleichgesetzt. Daraufhin sind viele zu Linux und OS X übergewandert und schon tauchten auch von diesen Systemen mehr Sicherheitslücken auf. Je interessanter ein System für die Mehrheit ist, desto interessanter ist es auch für Hacker und speziell Cracker.

Aber zurück zu Google. Ende letzten Jahres wurde eine [acronym=XSS]Cross Site Scripting[/acronym]-Lücke in Googles Such-Appliance gefunden, die es ermöglichte beliebigen JavaScript-Code auf dem Zielrechner auszuführen. Peinlich daran ist, dass diese Lücke noch immer funktioniert: FBI. Fraglich ist, ob Google den Wald vor lauter Bäumen nicht mehr sieht. Das Problem hatte Google.com vor reichlich einem Jahr ebenfalls und wurde auch schnell behoben.

In jüngerer Zeit hat Tony Ruscoe eine Sicherheitslücke entdeckt, mit der es möglich war Cookiedaten von anderen Google Accounts zu lesen und teilweise auch zu manipulieren.

Die Lücke nutzte die Funktion Custom Domains aus. Damit ist es möglich einen Blog von Blogger.com unter einer beliebigen Domain laufen zu lassen. Mit der Angabe einer präparierten Google Subdomain konnten somit die Cookies gelesen werden. Google hat schnell reagiert und Google Domains nicht mehr zugelassen, was aber sicher nicht alle Fälle von verursachbaren Fehlern abdeckt.

Man muss aber sagen, dass zu keiner Zeit Zugriff auf Passwörter und vollständige eMails und den Google Calendar gab. Aber mal sehen, ob Google bald noch mehr in den Fokus von Hackern, Crackern und Dark-Black-Hat-SEOs gerät, wenn es scheinbar so einfach ist den Suchgiganten zu manipulieren.

Via Heise und Google Blogoscoped

Share

Diesen Artikel kommentieren