Nieuws
image

Google negeert ontwerpfout in webapplicaties

vrijdag 10 oktober 2008, 16:45 door Redactie, 6 reacties

Door een ontwerpfout in Google's webapplicaties is het voor aanvallers mogelijk om via een klein probleempje in bijvoorbeeld Google Maps, toegang te krijgen tot Gmail of Google Apps accounts, maar ook het omzeilen van de de browser's Same Origin Policy behoort tot de mogelijkheden. Zes maanden geleden ontdekte de Israëlische beveiligingsonderzoeker Aviv Raff dat Google.com te maken heeft met een 'cross-domain web-application sharing security design flaw'. Verschillende Google webapplicaties zijn via subdomeinen van Google.com benaderbaar. Een probleem in het ene subdomein is op het andere te misbruiken.

Ondanks het feit dat Raff het probleem een half jaar geleden kenbaar maakte, is het nog steeds niet verholpen. Een andere beveiligingsonderzoeker, Adrian Pastor, heeft vandaag een proof-of-concept exploit gepubliceerd waarbij het mogelijk is om via frame injection de ene Google dienst zich voor de ander uit te laten geven. De aanval gebruikt de ontwerpfout van Raff om het slachtoffer te laten geloven dat hij zich op een legitieme inlogpagina bevindt. Aangezien de exploit van Pastor vandaag online verscheen en Google niets van zich laat horen, hoopt Raff dat zijn full-disclosure Google dwingt om actie te ondernemen.

Reacties (6)
10-10-2008, 19:48 door Anoniem
In dit soort situaties worden onderzoeker vaak gedwongen om tot zulke acties over te gaan.
Het is soms de enige manier om serieus genomen te worden.
Ik begrijp de actie van Raff heel goed en kan me voorstellen dat hij zich erg alleen voeld in zijn strijd.

Ik pleit voor richtlijnen omtrent full-disclosure en steun voor de klokkenluiders.

Greetingz,
Jacco
11-10-2008, 08:00 door Lamaar
Nou mag je wel of niet open source hebben, maar als je Google gebruikt ben je dus ook dan het haasje. Er is maar één manier om met Google af te rekenen: Google nooit meer gebruiken en de toegang voor Google te blokkeren.

Wie open source gebruikt omdat het zo veilig zou zijn, maar wel Google vertrouwt en er vrolijk mee werkt, heeft zijn voordeur op slot maar de keukendeur wijd open staan.
11-10-2008, 10:33 door Eghie
Door LamaarNou mag je wel of niet open source hebben, maar als je Google gebruikt ben je dus ook dan het haasje. Er is maar één manier om met Google af te rekenen: Google nooit meer gebruiken en de toegang voor Google te blokkeren.

Wie open source gebruikt omdat het zo veilig zou zijn, maar wel Google vertrouwt en er vrolijk mee werkt, heeft zijn voordeur op slot maar de keukendeur wijd open staan.
Sorry, maar ik zie niet echt in wat Open Source hier überhaupt mee te maken heeft. Daarnaast is Open Source niet perse veiliger. Open Source is per definitie, potentieel veiliger. Wil niet zeggen dat het ook echt veiliger is. Daarnaast maakt Google wel gebruik van Open Source, alleen die applicaties (waar het hier om gaat) die zij schrijven zijn niet Open Source.
11-10-2008, 21:51 door Anoniem
@Eghie. Het heeft geen zin om te reageren op Lawaai. Laa-maar gewoon gaarkoken zjn zijn soppie.
12-10-2008, 02:12 door Eerde
Die proof-of-concept zegt mij nix. Als ik het zo lees dan gaat het om een "klein probleempje" ? En dan een hele ris hoogst interessante zaken.
Pffft, is er ooit aangetoond dat het IRL echt gebruikt wordt ?

Het wekelijkse Google is evil verhaaltje door de FUD mennekes, get a life !
02-07-2009, 18:47 door extranion
Als ik het goed begrijp dan kan je misbruik maken van bijvoorbeeld google maps, en dan uiteindelijk in gmail terecht komen van een gehackt account.

Dit lijkt me op zich nogal logisch aangezien je 1 Google account heb.
Het punt is natuurlijk wel dat als er ergens in de Google diensten een fout zit, ze zo bij al je conversaties kunnen komen...

Echter hebben ze het ook over een iframe, ik vraag me dan ook af hoe beïnvloed het iframe het gedrag van de server?

Aangezien ik een Android gebruiker ben, vind ik toch wel belangrijk dat Google veilig blijft/word.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure