Onderzoeker Nir Goldshlager van het Israëlische Avnet stelt in een 'proof of concept' dat Google Calendar en Twitter kwetsbaar zijn voor de hacktechniek cross-site scripting (xss). De agendadienst van Google staat tevens het invoegen van bepaalde HTML-codes toe, waardoor gebruikers automatisch naar een malafide website kunnen worden doorgestuurd.

Dat meldt Goldshlager afgelopen weekend aan eWeek, die vervolgens Google en Twitter op de hoogte bracht. Twitter bracht op 30 december een fix uit en Google meldde op 31 december de situatie te onderzoeken.

Geen ingrijpende beveiligingsproblemen

"Deze melding bevat geen ingrijpende beveiligingsproblemen," stelde een Google-woordvoerder tegenover eWeek. Volgens de zegsman is de door Goldshlager beschreven aanval niet erg aannemelijk. Het invoegen van codes in een tekstveld in Google Calendar zou volgens Google momenteel niet door hackers worden gebruikt als aanvalsmethode.

Maar volgens Goldshlager is het gevaar dat met het toevoegen van de codes het mogelijk is cookies en sessie-id's te stelen. De aanvaller krijgt dan de volledige controle over de Google-diensten die bij het account van het slachtoffer horen, zoals Google Calendar, iGoogle en andere diensten. "Google moet dit probleem onmiddelijk oplossen", vindt Goldshlager.