Kritische beveiligingslekken in Google Mail ontdekt

  • Bron (c) 2007, VirusAlert

IT-beveiligingsonderzoeker Petko D. Petkov heeft in zijn Blog op meerdere kritische beveiligingslekken in Googles webmailer Google Mail gewezen.
In het artikel beschrijft de expert hoe het “Cross-Site-Request-Forgery (CSRF) lek is uit te buiten.

Volgens Petkov kan met deze schadelijke code vrijwel alle accountdata worden gestolen zoals inkomende mail en contactpersonen, zonder dat de gebruiker daar iets van merkt. De onderzoeker zal echter geen bewijs openbaar maken zolang Google het lek nog niet heeft gedicht. Via het lek is het voor een aanvaller bijvoorbeeld mogelijk om met een gemanipuleerde link de “Session-cookie” van een gebruiker over te nemen terwijl deze is aangemeld bij Google Mail.

“Wanneer iemand dit lek uitbuit voordat Google het dicht, ondervinden de gebruikers van Google veel schade.”, aldus Chris Gatford, beveiligingsexpert van Pure Hacking. Naar inschatting van Gatford wordt het lek door Googles nieuwe bewaartermijn voor data van 2 jaar begunstigd. “Indien het eenmaal gelukt is om een cookie te stelen, heeft men twee jaar toegang tot de Google Mail account van de rechtmatige eigenaar”,verklaart Gatford.

Hoewel G-Mail primair door particulieren wordt gebruikt, kunnen ook bedrijven door dit probleem worden getroffen. James Tuner, data-analist bij IBRS bericht dat veel werknemers hun bedrijfsmail doorsturen naar privé-accounts zoals bijvoorbeeld Google Mail. Een workaround voor het lek is het gebruik van Google Mail met de browser Firefox, waarbij tegelijkertijd Javascript wordt gedeactiveerd. Google heeft tot dusver nog niet inhoudelijk op het lek gereageerd.