Beveiligingslek laat hackers in Google Buzz

googlebuzz

Artikelgereedschap

Aanbevelen

Gepubliceerd: Woensdag 17 februari 2010
Auteur: Sander van der Meijs

Door een heel simpele programmeerfout zit er een cross-site scriptinglek in Google Buzz. Het geeft hackers de mogelijkheid om accounts over te nemen.

De fout is een "middelgroot probleem" met de Buzz for Mobile website, zei Robert Hansen, CEO van SecTheory, die het gat als eerste rapporteerde.

Cross-site scripting

Het is een cross-site scriptingfout (xss), waardoor de aanvaller zijn eigen code in webpagina's kan plaatsen die toebehoren aan vertrouwelijke websites zoals Google.com. De fout komt vrij vaak voor, maar kan wel grote gevolgen hebben als hij wordt misbruikt op veelgebruikte sites.

De aanvaller "kan je dwingen om dingen te zeggen die je niet wilt zeggen, tegen mensen die je volgen", zei Hansen. "Wat jij met Google Buzz kunt doen, dat kan die aanvaller jou aandoen."

Phishing

Omdat aanvallers de fout kunnen gebruiken om hun eigen content op Google.com te zetten, kunnen ze phishing-aanvallen opzetten tegen gebruikers van Google, zei Hansen verder. "Als dit ongepatcht blijft, dan kan dat nare gevolgen hebben voor elke gebruiker van de site", ging hij verder. "Het kan makkelijk worden gebruikt om mensen te laten denken dat ze aan het typen zijn in een echte Google sign-on pagina, terwijl ze daar niet echt zijn."

Oplossing

De bug is ontdekt door de hacker TrainReq, die de details van de fout naar Hansen heeft gemaild, zonder enige verklaring. Ondertussen heeft een woordvoerder van Google bevestigd dat het bedrijf aan een oplossing werkt. Hij voorspelde dat die binnen een paar uur klaar zou zijn.

"We zijn ons ervan bewust dat een kwetsbaarheid gevolgen kan hebben voor veel gebruikers van Google Buzz for mobile, en we zijn de fix nu aan het maken", zei Jay Nancarrow in een e-mail. "We hebben geen aanwijzingen dat de kwetsbaarheid actief wordt misbruikt."

Google Buzz werd vorige week gelanceerd, maar kreeg direct een stortvloed van kritiek over zich heen. DE dienst deelt automatisch en zonder van tevoren goed te waarschuwen lijsten van Gmail contacten. Daar is Google nu verandering in aan het aanbrengen.

Google niet te vertrouwen

Maar het beveiligingslek onderstreept een ander belangrijk punt, zei Hansen. "Vertrouwelijke informatie kan echt niet worden toevertrouwd aan Google, omdat ze hun eigen applicaties niet eens kunnen beschermen."

Bron: Techworld.nl

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Flexibele IT noodzaak voor banken

    Banken worden belemmerd in hun agility door de beperkte flexibiliteit van hun IT-systemen. Onderzoeksrapport waarin de drastische vernieuwing wordt beschreven.

    Downloaden
  • De zes IT-trends anno 2012Wat iedere CIO moet weten om zijn bedrijf op tijd in de juiste richting te begeleiden!
  • VDI: Waar zitten de besparingen? Gratis whitepaper over verregaande besparingen en significante voordelen van VDI
» Meer whitepapers

Peiling

Loading Poll

Video: NPD: bedrijven en je data (video)

NPD: bedrijven en je data (video)