Hacker sind scharf auf Google-Cookie

Der israelische Experte Nir Goldshlager hat ein XSS-Leck (Cross Site Scripting) in Froogle – dem Preisvergleichsdienst von Google – entdeckt. Ein Hacker kann die Schwachstelle ausnutzen, indem er ein Java-Script in eine URL einbettet, die auf Froogle verweist. Klickt ein Anwender auf den Link, wird er auf eine Website weitergeleitet, über die der Angreifer ein bestimmtes Google-Cookie vom Rechner stielt.
Dieses Cookie enthält Anwendernamen und Passwörter für ‘Google Accounts’. Ein Konto bei diesem zentralen Login-Dienst ermöglicht einem Anwender den Zugriff auf Angebote wie Google Alerts, Google Answers, Google Groups und den Freemail-Dienst Gmail.

Goldshlager hat Google über das XSS-Loch informiert. Das Unternehmen gab an, die Schwachstelle geschlossen zu haben. Alle gegenwärtigen und künftigen Nutzer von Froogle seien vor einem Missbrauch ihrer Daten geschützt, hieß es.

Die Informationen aus den bereits gestohlenen Cookies können jedoch missbraucht werden, so Goldshlager. Das Google-System identifiziere einen Hacker als sein Opfer. Ein Opfer könne sein Passwort so oft ändern, wie es wolle. Das halte den Angreifer nicht davon ab, sich am Account des Opfers zu vergreifen.