Neue Sicherheitsanfälligkeit in Bezug auf Google Mail-Sicherheit tritt auf

In den letzten Wochen wurden Nachrichten über Domain-Hijackings bekannt. Die Gemeinsamkeit war, dass alle Opfer Google Mail als primäre E-Mail-Adresse ihrer Websites verwendeten. Gestern wurde im Geek Condition-Blog ein Proof of Concept für eine Google Mail-Sicherheitslücke veröffentlicht, in dem erläutert wird, wie der Angreifer die Domain-Namen entführen konnte.

Der Angreifer hat in Google Mail grundsätzlich Filter festgelegt, um E-Mails vom Domain-Registrar an ein anderes E-Mail-Konto weiterzuleiten. Um sicherzustellen, dass der Kontoinhaber die E-Mails nicht bemerkt, wurden sie nachträglich gelöscht.

Die meisten Domain-Registrare bieten Webformulare an, mit denen Kontoinformationen abgerufen werden können. Godaddy bietet beispielsweise Webformulare an, um den Benutzernamen abzurufen und das Passwort eines Kontos zurückzusetzen. Sie senden E-Mails an das primäre E-Mail-Konto. Diese E-Mails werden jedoch weitergeleitet und gelöscht, sodass nur der Angreifer auf sie zugreifen kann.

Die beiden E-Mails enthalten den Benutzernamen des Kontos und ein neues Passwort, mit dem Sie sich bei dem Konto anmelden und eine Domainübertragung an einen anderen Registrar initiieren können.

Der Exploit verwendet eine speziell vorbereitete Website, um dem Nutzer das Google Mail-Cookie zu stehlen und den Filter in einen versteckten Iframe zu setzen. Aus diesem Grund wurden die Kontoinhaber vom Angreifer nie von ihrem Konto abgemeldet. Er hatte nie physischen Zugang zu dem Konto. Aber der Filter war genug, um die Domains zu entführen.

Google Mail-Nutzer sollten ihre Filter regelmäßig überprüfen, um sicherzustellen, dass keine vorhanden sind, die nicht von ihnen hinzugefügt wurden. Eine bessere Lösung wäre, die E-Mails stattdessen von einem Desktop-E-Mail-Client wie Thunderbird oder Microsoft Outlook abzurufen. Noch kein Wort des Google Mail-Teams über die Sicherheitsanfälligkeit.