Sicherheitsrisiko bei Googles +1-Knopf
Dieser Artikel ist älter als ein Jahr!
Seit vergangenem Mittwoch ist Googles +1-Knopf
Ein französischer Sicherheitsforscher hat noch am selben Tag herausgefunden, dass sich beide neue Buttons ganz einfach missbrauchen lassen - und zwar durch Clickjacking. Dabei wird die Darstellung der Website überlagert und der Nutzer dazu veranlasst, mit jedem Mausklick auf der Seite etwa einem bestimmten Twitter-Profil zu folgen oder einen bestimmten Inhalt mit Googles +1-Knopf zu empfehlen.
Transparenter Button
Die Angreifer können die Buttons überall auf der Website platzieren - und zwar vollkommen transparent, so dass der Nutzer nicht sieht, wann er jemandem folgt oder etwas unbewusst weiter empfiehlt. Diese Lücke hat SERP Hacker, der sich selbst als "französischer Sicherheitsexperte" bezeichnet, auf seiner Website nur wenige Stunden nach der Freigabe des Google +1- und Twitters Follow-Buttons aufgezeigt. In seiner Demonstration verwendet er einen halbtransparenten Twitter-Button, um den Nutzern begreiflich zu machen, wie solche Angriffe funktionieren.
Die Clickjacking-Angriffe auf die beiden Google- und Twitter-Buttons funktionieren allerdings nur, wenn die Nutzer bei Twitter oder Google eingeloggt sind. Andernfalls öffnet sich nur ein Pop-up-Fenster. Bei Google muss man zudem den +1-Knopf bereits einmal betätigt haben, bevor der Angriff möglich ist.
Experten fordern Lösung
Abhilfe gegen Clickjacking gibt es derzeit mit dem Firefox-Plug-in NoScript, das die Nutzer davor warnt, wenn sie auf ein unsichtbares Element klicken. Laut dem Sophos-Analysten Graham Cluley führt die Nutzung des Plug-ins allerdings dazu, dass Websites oft nicht wie gewohnt angezeigt werden. Cluley empfiehlt das Plug-in daher nur "erfahrenen" Anwendern.
Beim sozialen Netzwerk Facebook, das mit seinem Gefällt-mir-Button als Vorbild für Google und Twitter dient, kam es in der Vergangenheit bereits mehrfach zu Clickjacking-Attacken. Sicherheitsexperten haben daher bereits dazu aufgefordert, das Problem zu lösen. So müssten die Anbieter die Buttons so gestalten, dass sie nicht ausgelöst werden können, wenn sie transparent sind.
Kommentare