Google-diensten geteisterd door lekken

Het lek in Gmail werd ontdekt door beveiligingsonderzoeker Petko Petkov, die in een blogposting uiteenzet hoe een permanente backdoor geïnstalleerd kan worden. Gebruikers die ingelogd zijn in Gmail en op een kwaadaardige hyperlink klikken, kunnen het slachtoffer worden van het lek als de aangeklikte site de opdracht "multipart/form-data POST" naar de Gmail-interface verstuurt en vervolgens een door het slachtoffer ingesteld filter injecteert.

Het filter stuurt alle berichten automatisch door naar de aanvaller, zo meldt Security.nl. De backdoor wordt pas gesloten als het filter wordt verwijderd. Ook als het lek gedicht wordt, blijft de backdoor open, zolang het filter gebruikt wordt. De onderzoeker, die zegt 'een groot Google-fan' te zijn, maakt geen verdere details bekend en roept andere onderzoekers ook om om Google de kans te geven het leek eerst te dichten.

XSS-lek

De lekken in Google's Search Appliance, Picasa en Analytics zijn zogenaamde cross-site scripting- of xss-lekken. Search Appliance kent zo'n 200.000 betalende klanten die nu, volgens de onderzoekers die het lek ontdekten 'geld betalen zodat hun gegevens en gebruikers risico lopen'. Het xss-lek in fotodienst Picasa geeft kwaadwillenden de mogelijkheid om persoonlijke foto's van gebruikers te stelen en het Google Analytics-lek maakt het mogelijk om lokale installaties te compromitteren, zo meldt Security.nl.

Dit laatste lek wordt door de onderzoekers die het ontdekten 'erg interessant' genoemd omdat het een voorbeeld is van een zogenaamde 'credential theft' en niet slechts een 'standaard, saaie XSS-melding'. Het Google Polls lek ten slotte, stelt kwaadwillenden in staat om andere diensten van Google aan te vallen, waaronder de zoekdienst, Blogspot, Groups en Gmail. Aanvallers van de e-maildienst kunnen zo bijvoorbeeld de contactenlijst van gebruikers bemachtigen.