Digital Life
06.06.2011

Sicherheitsrisiko bei Googles +1-Knopf

Der Empfehlungs-Button von Google, der seit vergangener Woche in jede Website integriert werden kann, ist ebenso wie der neue Follow-Button von Twitter anfällig für Clickjacking, so ein französischer Sicherheitsforscher.

Seit vergangenem Mittwoch ist Googles +1-Knopf

integrierbar. Die Empfehlungs-Klicks der Nutzer haben Einfluss auf die Suchergebnisse von eingeloggten Google-Nutzern. Am selben Tag hat der Microbloggingdienst Twitter zudem seinenFollow-Buttonoffiziell eingeführt, der dazu dienen soll, dass Anwender einem Twitter-Feed folgen können, ohne dafür extra die Website verlassen zu müssen, die sie gerade besuchen.

Ein französischer Sicherheitsforscher hat noch am selben Tag herausgefunden, dass sich beide neue Buttons ganz einfach missbrauchen lassen - und zwar durch Clickjacking. Dabei wird die Darstellung der Website überlagert und der Nutzer dazu veranlasst, mit jedem Mausklick auf der Seite etwa einem bestimmten Twitter-Profil zu folgen oder einen bestimmten Inhalt mit Googles +1-Knopf zu empfehlen.

Transparenter Button
Die Angreifer können die Buttons überall auf der Website platzieren - und zwar vollkommen transparent, so dass der Nutzer nicht sieht, wann er jemandem folgt oder etwas unbewusst weiter empfiehlt. Diese Lücke hat SERP Hacker, der sich selbst als "französischer Sicherheitsexperte" bezeichnet, auf seiner Website nur wenige Stunden nach der Freigabe des Google +1- und Twitters Follow-Buttons aufgezeigt. In seiner Demonstration verwendet er einen halbtransparenten Twitter-Button, um den Nutzern begreiflich zu machen, wie solche Angriffe funktionieren.

Die Clickjacking-Angriffe auf die beiden Google- und Twitter-Buttons funktionieren allerdings nur, wenn die Nutzer bei Twitter oder Google eingeloggt sind. Andernfalls öffnet sich nur ein Pop-up-Fenster. Bei Google muss man zudem den +1-Knopf bereits einmal betätigt haben, bevor der Angriff möglich ist.

Experten fordern Lösung
Abhilfe gegen Clickjacking gibt es derzeit mit dem Firefox-Plug-in NoScript, das die Nutzer davor warnt, wenn sie auf ein unsichtbares Element klicken. Laut dem Sophos-Analysten Graham Cluley führt die Nutzung des Plug-ins allerdings dazu, dass Websites oft nicht wie gewohnt angezeigt werden. Cluley empfiehlt das Plug-in daher nur "erfahrenen" Anwendern.

Beim sozialen Netzwerk Facebook, das mit seinem Gefällt-mir-Button als Vorbild für Google und Twitter dient, kam es in der Vergangenheit bereits mehrfach zu Clickjacking-Attacken. Sicherheitsexperten haben daher bereits dazu aufgefordert, das Problem zu lösen. So müssten die Anbieter die Buttons so gestalten, dass sie nicht ausgelöst werden können, wenn sie transparent sind.

Mehr zum Thema