Thema: Google Toolbar ...

[SiLæncer]

Eine vorgebliche neue Version der Toolbar von Google wird per Mail beworben. Sie enthält jedoch keinen nützlichen Browser-Zusatz sondern Malware.

Im Spam-artig verbreiteten Mails wurde am Dienstag Abend verkündet, es wäre eine neue Version der Google Toolbar erhältlich. Die Mails enthielten einen Link zu einer Website, wo es scheinbar verschiedene Varianten der neuen Toolbar gab. Die Website wurde bereits kurze Zeit später gesperrt. Alle herunterladbaren Dateien waren identisch und enthielten ein Trojanisches Pferd.

Der Schädling wurde zunächst von keinem Antivirus-Programm erkannt. Kaspersky Labs reagierte zuerst und gab an, es handele sich um eine lediglich neu komprimierte und verschlüsselte Version einer bekannten Malware namens "Trojan-Proxy.Win32.Ranky". Diese neue Fassung wird als "Trojan-Proxy.Win32.Ranky.fw" bezeichnet.

Wird die vermeintliche Google Toolbar gestartet, installiert das Programm einen Proxy-Dienst. Darüber kann ein Angreifer den PC als Proxy für die Internet-Nutzung verwenden. Dadurch tarnt er sich gegenüber den Servern, auf die er zugreift. Für diese erscheint der fremdgesteuerte PC als Quelle der Datentransfers.

Der Schädling trägt sich unter dem Namen "Services" in die Registry ein:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
"Services = <Pfad zur Datei>"

Er versucht dann auf einer Reihe von TCP-Ports Kontakt mit einem Server im Internet aufzunehmen. Gelingt dies nicht, versucht er es in Abständen von 15 Minuten wieder. Gelingt es, teilt er seinem Kontrollserver die Port-Nummer und verschlüsselter Form mit. Nun kann der PC als Proxy missbraucht werden.

Um den Schädling zu entfernen, suchen Sie in der Registry den oben genannten Run-Schlüssel und notieren Sie Name und Speicherort der Datei. Starten Sie den Taskmanager und beenden Sie den Prozess des Schädlings, der einen Namen wie "Windows-Update-Service" tragen kann. Löschen Sie dann die Programmdatei des Schädlings und entfernen Sie seinen Eintrag in der Registry.

Quelle : www.pcwelt.de

[SiLæncer]

Googles Toolbar erlaubt es Anbietern und Webseiten, zusätzliche Schaltflächen etwa für komfortablere Suchfunktionen für die eigene Webseite zu installieren. Die bei so einer Installation angezeigten Daten wie der Ursprung der Schaltfläche sowie die Seite, mit der Daten ausgetauscht werden, können Angreifer jedoch fälschen, wie der Sicherheitsforscher Aviv Raff herausgefunden hat. Dies erleichtere es kriminellen Individuen, Phishing-Angriffe durchzuführen oder Anwender dazu zu verleiten, angebotene Programme auszuführen, da sie der vermeintlichen Ursprungsseite vertrauen.

Googles Toolbar lässt sich dadurch austricksen, dass Angreifer anstatt der eigentlichen Webseite als Links in den Installationsdateien eine Umleitung eintragen, etwa über Googles öffentlich zugängliche Redirector-Funktion: http://www.google.com/local_url?q=. In der Toolbar für den Internet Explorer lassen sich bei der Installation sowohl Urspung als auch die angezigte Adresse unter Datenschutz fälschen, in der Firefox-Version lediglich die Anzeige unter Datenschutz.


Benutzerdefiinierte Schaltflächen in Googles Toolbar können ihre Herkunft verschleiern.

Raff stellt eine Demonstration der Lücke auf seinem Server bereit. Nach dem Anklicken des Links erscheint eine Anfrage, ob man eine Schaltfläche von Google installieren möchte, die Daten von der Domain www.google.com erhält. Tatsächlich stammt die Schaltfläche jedoch von Raffs Server, raffon.net. Nach der Installation führt ein Klick auf die Schaltfläche zu einem Download – allerdings zeigt der Internet Explorer dort die echte Domain an, von der die Datei stammt. Ist ein Anwender jedoch kurz unachtsam, ließe sich so beispielsweise ein Trojaner einschleusen.


Bei per Schaltfläche gestarteten Downloads zeigt der IE jedoch die echte Adresse an.

Laut Raffs Sicherheitsmeldung ist Google über die Schwachstelle informiert und arbeite bereits an einer fehlerbereinigten Version. Bis dahin empfiehlt sich, keine benutzerdefinierten Schaltflächen in Googles Toolbar zu installieren.

Siehe dazu auch:

    * Google Toolbar Dialog Spoofing Vulnerability, Sicherheitsmeldung von Aviv Raff
    * Demonstration der Schwachstelle

Quelle und Links : http://www.heise.de/security/news/meldung/100835/Gefaehrliche-Schaltflaechen-in-Googles-Toolbar

[Jürgen]

Toolbars aus Dritter Hand, braucht man sowas überhaupt?
Zudem, kann man dem grössten Datenkraken der Welt irgendwie trauen?
Sogar so weit, dass man ihm Zugriff auf Bedienungselemente erlaubt ? ? ?

Kommt mir nicht in die Tüte 

[SiLæncer]

Der Sicherheitsforscher Benjamin Edelman, der an der Harvard-University beschäftigt ist, hat entdeckt, dass die Google Toolbar trotz Deaktivierung der Funktion weiterhin Daten an Google überträgt.

Obwohl das Tool von Google die Möglichkeit bietet, das Page Tracking zu deaktivieren, bleibt die Funktion laut Edelman weiterhin aktiv. Durch die Untersuchung der übertragenen Daten mit einem Netzwerk-Monitor wurde ersichtlich, dass eine Suche auf Yahoo nach dem Begriff Laptops weiterhin an Google verschickt wurde. Selbst wenn die Google Toolbar deaktiviert wird, so Edelman, ändert sich nichts.

Google habe ihm gegenüber erklärt, dies sei nur der Fall, bis der Browser neu gestartet werde. Diese Behauptung lässt der Forscher aber nicht gelten, denn bei der Deaktivierung der Toolbar wird der Nutzer gefragt, ob dies permanent oder nur für das aktuelle Fenster gelten soll.

Die letzte Option, so Edelman, mache gar keinen Sinn, wenn man danach den Browser ohnehin neu starten muss. Jemand, der diese Option auswähle, sei gerade daran interessiert, dass keine Daten übertragen würden und genau diese Nutzer seien durch das entdeckte Verhalten besonders betroffen. Selbst als im Internet Explorer 8 mit dem internen Add-on-Management die Toolbar deaktiviert wurde, blieb die Übertragung der Daten aktiv.

Nach fast einem Jahrzehnt der Nutzung hat Edelman nun die Google Toolbar deinstalliert und rät dazu, dies ebenfalls zu tun. Laut Informationweek soll heute aber eine neue Version der Toolbar erscheinen, die das Problem behebt.

Quelle : www.gamestar.de

[SiLæncer]

Google hat ein Update der Internet-Explorer-Version seiner Google Toolbar bereitgestellt, um ein potenzielles Datenschutzproblem zu beheben. Unter bestimmten Umständen sendet die Toolbar nämlich Informationen über besuchte Webseiten an Google weiter, auch wenn man dies nicht möchte. Das Problem tritt aber grundsätzlich nur auf, wenn man bereits bei der Installation der Aktivierung der erweiterten Funktionen "SideWiki" und "PageRanks" zugestimmt hat, die ganz offiziell Daten an Google übertragen.

Allerdings sendet die Toolbar die Daten auch dann noch, wenn der Anwender sie aus bestimmten Gründen später in einem neuen Explorer-Fenster abgeschaltet hat, wie Ben Edelman, Assistenzprofessor an der Harvard Business School, in Tests herausfand. Selbst wenn man über das Add-ons-Menü die Toolbar deaktiviert, ist sie nicht wirklich abgeschaltet – das ist sie offenbar in den Versionen 6.3.911.1819 bis 6.4.1311.42 für den Internet Explorer erst dann, wenn der Browser neu gestartet wird. Die neue Version lässt sich indes auch ohne Neustart deaktivieren.

Die Firefox-Version ist davon nicht betroffen. Im Test von heise Security ließ sich die Toolbar über das Add-on-Menü deaktivieren – auch ohne den eigentlich geforderten Neustart.

Quelle : www.heise.de