Thema: Google Mail diverses ...

[SiLæncer]

Durch eine Schwachstelle in Googles Webmail-Dienst Gmail soll es israelischen Medienberichten zufolge möglich sein, ohne Kenntnis des Passwortes Zugriff auf Mail-Konten zu erhalten. Dazu muss ein Angreifer sein Opfer allerdings dazu bringen, einen manipulierten Link anzuklicken, in dessen URL zusätzliches JavaScript versteckt ist. Der Link kann beispielsweise in einer Mail, in einer Webseite oder einem Dokument enthalten sein.

Gmail filtert diese Skripte nicht aus, sodass der Browser des Opfers sie im Kontext der Gmail zugeordneten Zone ausführt -- sofern darin ActiveScripting zugelassen ist. Diese als Cross-Site-Scripting-Schwachstelle bezeichnete Sicherheitslücke wurde zuletzt in Googles Desktop-Suchmaschine und der Web-Suchmaschine entdeckt. Google soll über das Problem bereits informiert sein und an einem Fix arbeiten.

Quelle : www.heise.de

[SiLæncer]

Durch eine Schwachstelle in Googles E-Mail-Dienst Gmail konnten Anwender Nachrichten lesen, die andere Nutzer vor ihnen über das System versandt hatten. Entdeckt haben die Lücke zwei Entwickler der HBX Networks UNIX Community Group, als sie an einem Skript zum Verteilen eines Newsletters bastelten. Dabei unterlief ihnen ein Fehler bei der Angabe des Absenders: Am Ende des From-Feldes fehlte die schließende spitze Klammer (">"). In der Folge enthielt die beim Empfänger ankommende E-Mail im Reply-to-Feld den Nachrichtenteil anderer Gmail-Anwender im HTML-Format. Nach Aussage der beiden Entwickler ließ sich aber nicht vorherbestimmen, von wem diese Nachricht stammt. Das Reply-to-Feld im Kopf einer Nachricht ist bei einigen Mail-Clients nur über die erweiterte Ansicht des Headers sichtbar.

Google hat die Lücke bestätigt und nach eigenen Angaben schon beseitigt. Seit wann das Problem bestanden hat und ob es bereits ausgenutzt wurde, ist unbekannt. Gmail ist zwar noch immer im Beta-Test und Anwender erhalten auch nur durch Einladungen/Empfehlungen (Invites) Zugang zu dem Dienst, trotzdem wird er schon vielfach genutzt. Ende Oktober war erstmals eine Lücke in Gmail bekannt geworden, durch die Angreifer Zugriff auf fremde Konten erhielten.

Quelle : www.heise.de

[SiLæncer]

Nutzer von Google Mail werden mit einer falschen Gewinnmitteilung in die Phishing-Falle gelockt.

Wenn Sie eine Mail erhalten, die von Google Mail (Gmail) zu kommen scheint und Ihnen verkündet, Sie hätten 500 US-Dollar gewonnen, sollten Sie diese Mail besser ignorieren. Das Sicherheitsunternehmen Websense berichtet über ein Phishing-Masche, die Gmail-Nutzer mit falschen Gewinnbenachrichtigungen in die Falle locken soll.

Die Mails kommen vorgeblich von Googles Gmail-Team und verkünden: "You won $500! Gmail congratulates you!". Die Mails enthalten einen Link zu einer gefälschten Anmeldeseite von Google Mail. Den erwartungsvollen Gewinnern wird dort mitgeteilt, dass der Preis nur auf ein Konto bei einem Online-Bezahldienst wie Paypal oder e-Gold ausgezahlt werden könne.

Ferner sei der Gewinn nur für "Premium-Mitglieder" von "Gmail Games" erhältlich. Diese Mitgliedschaft koste 8,60 Dollar. Wer den Gewinn haben wolle, müsse nun diese Registrierungsgebühr bezahlen oder den Gewinn verfallen lassen. Wer bis dahin noch nicht hellwach ist, wird auf eine Bezahlseite geleitet, wo er nun die Gebühr mittels seines Online-Kontos entrichten soll.

Google sind diese Phishing-Mails nach Angaben einer Unternehmenssprecherin bekannt und Gmail blockiert sie. Somit habe nur eine kleine Zahl von Gmail-Nutzern diese Mails erhalten. Gmail enthalte zwar einen Phishing-Filter, die Nutzer sollten jedoch trotzdem aufmerksam bleiben. Sie sollten nicht auf Mails reagieren, die nach persönlichen Informationen fragen oder Links zu Websites enthalten, wo Anmeldedaten abgefragt werden.

Quelle : www.pcwelt.de

[SiLæncer]

In der vergangenen Woche klassifizierte Microsofts Anti-Virus-Dienst Windows Live Onecare Google Mail fälschlicherweise als Virus. Kurze Zeit später war das Problem zwar behoben, einige Anwender haben durch die Falschmeldung aber wertvolle Daten verloren. Microsoft hat sich nun für den Lapsus entschuldigt.

Ende vergangener Woche lief etwas schief bei Microsofts Anti-Virus-Dienst Windows Live Onecare : Googles Mail-Dienst Google Mail wurde fälschlicherweise als Virus klassifiziert. Grund waren laut Microsoft Änderungen an der Google-Mail-Website, ins Detail ging das Unternehmen dabei aber nicht. Im Ergebnis erhielten Anwender des Onecare-Dienstes beim Besucht der Google-Mail-Site den Hinweis, dass ihr System mit dem Virus BAT/BWG.A infiziert sei. Am Sonntag wurde das Problem durch das Einspielen eines Updates für Onecare behoben.

Anwender, die von der Falschmeldung betroffen waren, berichten nun über die unschönen Folgen dieser Falschmeldung. So führte diese zu stundenlangen Telefonaten mit Microsoft Tech Support und - im Extremfall - zu gelöschten Dateien im Google-Mail-Account. So erklärte ein Anwender laut eines Berichts des IDG News Service, dass der Tech Support nach einer Stunde aufgegeben habe und ihm erklärte, dass es an seinem Google-Mail-Account liegen müsse. Der Anwender löschte auf Anraten des Supports alle Inhalte seines Accounts und ließ zur Sicherheit Stinger über das System laufen. Doch als er danach den (nun leeren) Google-Mail-Account erneut aufrief, erschien die Falschmeldung des Onecare-Dienstes erneut. "Zwei Jahre archivierte Inhalte sind nun weg", so der Anwender.

Derartige Falschmeldungen sind nicht unbedingt neu. So bewertete ein Signatur-Update bei McAfee Anfang des Jahres Komponenten von MS Office als Virus und Microsofts Antispyware-Software hielt ein Sicherheitsprogramm von Symantec für ein Trojanisches Pferd.

Quelle : www.pcwelt.de

[Jürgen]

Wie immer, wer über derlei umfangreiche Datenverluste jammert, hat offensichtlich keine vernünftige Datensicherung 

[SiLæncer]

Nicht ganz wie von heise Security vorhergesagt die komplette Mail-Korrespondenz, doch zumindest die Kontaktlisten von GMail-Usern sind quasi öffentlich zugänglich. Wer in einer Mail in seiner GMail-Box einen Link öffnet, riskiert damit, dass die aufgerufene Webseite all seine GMail-Kontakte ausliest. Voraussetzung für den Zugriff ist lediglich, dass das Opfer derzeit bei GMail angemeldet ist -- was beim Lesen seiner Mail der Fall sein dürfte.

heise Security konnte das Problem in einem kurzen Test nachvollziehen. Es beruht auf der Tatsache, dass Google die Kontaktliste als JavaScript-Code ablegt, der immer unter derselben URL zu erreichen ist. Damit muss eine Web-Seite diese URL nur noch als Script einbinden und anschließend das Feld auslesen -- was bereits eine ganze Reihe von Web-Sites erfolgreich demonstriert. Mittlerweile scheint Google jedoch reagiert zu haben -- zumindest funktionieren die Demos nicht mehr.

Besonders peinlich für den Suchmaschinenriesen ist, dass Jeremiah Grossman in seinem Blog bereits vor genau einem Jahr über dieses Problem berichtet und es an Google gemeldet hatte. Offenbar hat man damals seine Ermahnungen, sensible Daten nicht als JavaScript unter vorhersagbaren URLs abzulegen, nicht ausreichend ernst genommen.

Quelle : www.heise.de

[SiLæncer]

Petko Petkov (pdp) warnt vor einer Sicherheitslücke in Google Mail. Angreifer können seiner Meldung zufolge mit manipulierten Webseiten, die ein Google-Mail-Nutzer bei einer aktiven Webmail-Sitzung öffnen muss, etwa Filtereinstellungen unterschieben, über die dann beispielsweise alle ein- und ausgehenden Mails weitergeleitet werden. Es handelt sich dabei um eine sogenannte Cross-Site-Request-Forgery-Lücke (CSRF), die auch als Session Riding bekannt ist.

Ein derart eingerichteter Filter bleibt auch nach einer Abmeldung vom Webmail-Dienst aktiv und ermöglicht beispielsweise die komplette Überwachung des Mailverkehrs eines Nutzers. Genauere Einzelheiten zur Schwachstelle veröffentlicht Petkov erneut nicht – bereits bei der Sicherheitslücke in PDF-Readern hielt er sich mit Details zurück. Er will sie nachreichen, sobald Google das Problem behoben hat. Erst am gestrigen Dienstag wurde eine Sicherheitslücke in Googles Fotoalben-Software Picasa bekannt, die ebenfalls noch nicht geschlossen ist.

Quelle : www.heise.de

[SiLæncer]

Keinen Schaden für Nutzer bekannt

Google hat nach eigenen Angaben das jüngst in Gmail alias Google Mail bekannt gewordene Sicherheitsloch geschlossen. Bislang soll das Sicherheitsleck nicht aktiv ausgenutzt worden sein.

Gegenüber australischen Kollegen verriet Google, dass das jüngste Sicherheitsloch in Gmail alias Google Mail bereits beseitigt wurde. Über das Sicherheitsloch können Angreifer beliebige E-Mails mitlesen, indem sie eigene Filterregeln einschleusen und sich alle Nachrichten an eine beliebige E-Mail-Adresse weiterleiten.

Auch der aktuelle Fall zeigt, dass Google über Sicherheitslecks weiterhin nicht aktiv informieren will. Der Konzern rückt Informationen zu Sicherheitslücken nach wie vor nur auf Nachfrage heraus und nutzt nicht etwa das im Mai 2007 gestartete Sicherheits-Blog, um seine Kunden direkt auf Sicherheitsrisiken hinzuweisen.

Quelle : www.golem.de

[SiLæncer]

Durch eine Sicherheitslücke in einer Google-Programmierschnittstelle konnte man bis vor Kurzem Mails an GMail-Nutzer schicken, ohne ihre Mailadresse zu kennen. Wie TechCrunch berichtet, musste der Nutzer lediglich eine speziell vorbereitete Webseite besuchen, während er bei Google eingeloggt war. Dies soll sogar im Private-Browsing-Modus, in dem die gesammelten Cookies normalerweise nicht zur Verfügung stehen, funktioniert haben. Die Mails, deren Betreff und Inhalt man frei wählen konnte, gingen von der Mailadresse noreply@google.com aus und wurden mit einem authentischen Header verschickt, sodass der Nutzer kaum eine Chance hatte, sie von einer echten Mail des Suchmaschinenriesen zu unterscheiden.

Entdeckt hat die Lücke der 21-jährige Armenier Vahe G., der seinen Demo-Exploit frei zugänglich von Googles Blogspot-Dienst hosten ließ. Kurze Zeit später sperrte Google den Blog und bestätigte das Problem gegenüber TechCrunch. Inzwischen hat Google die Lücke nach eigenen Angaben in seiner Apps-Script-API aufgespürt und geschlossen.

Quelle : www.heise.de

[spoke1]

Blockade

Google wirft der chinesischen Regierung vor, seinen E-Mail-Dienst so zu blockieren, dass es wirkt, als gäbe es ein Problem mit Google Mail. Auch Googles Personenfinder, der im Zusammenhang mit dem Erdbeben in Japan aufgesetzt wurde, soll von der Blockade betroffen sein.
"Was Google betrifft, so gibt es auf unserer Seite keine Probleme. Wir haben das ausgiebig geprüft. Es handelt sich um eine Blockade der Regierung, die so gestaltet wurde, dass es aussieht als gäbe es ein Problem mit Google Mail", wird ein Google-Sprecher unter anderem im britischen Guardian, der New York Times und dem Wall Street Journal zitiert.

Demnach haben Menschen in China Probleme beim Zugriff auf Google Mail, die zu der Zeit begannen, als es erste Aufrufe zu Protesten im Rahmen der "Jasmin Revolution" in China gab. Am 11. März 2011 wies Google bereits in einem Blogeintrag auf politisch motivierte Angriffe gegen seine Nutzer hin. Dabei sei die im Januar 2011 veröffentlichte MHTML-Lücke in Windows genutzt worden.

Im Januar 2010 hatte Google auf Angriffe aus China auf seine Infrastruktur reagiert und angekündigt, seine Suchergebnisse in China nicht mehr zu zensieren. Als Konsequenz daraus wurde im März 2010 Google.cn abgeschaltet. Im Februar 2011 startete die offizielle chinesische Suchmaschine Panguso. Betrieben wird sie von Xinhua, der staatlichen Nachrichtenagentur, und China Mobile, dem größten Mobilfunkanbieter. (ji)


Quelle: http://www.golem.de/1103/82214.html

[spoke1]

In China haben vermutlich operierende Angreifer versucht, Zugangsdaten zu erphishen. Das wird in einem Blogpost über die Sicherheit von Zugängen des Dienstes Google Mail beiläufig erwähnt. Betroffen gewesen seien demnach Regierungsvertreter, Journalisten sowie chinesische Aktivisten.

Im offiziellen Google Blog hat der Suchmaschinenbetreiber in einer Randbemerkung bekanntgegeben, von welchem Ort aus ein größerer Phishing-Angriff auf Google-Mail-Nutzer verübt wurde. Laut Google wird die Quelle des Angriffs in der Millionenstadt Jinan, der Provinz Shandong, in China vermutet. Der Angriff ist allerdings schon etwas länger her. Erste Spuren gab es bereits schon im Februar 2011.

Analysiert wurde der Angriff über das eigene cloudbasierte Sicherheitssystem. Offenbar versuchten Unbekannte, von mehreren hundert Nutzern die Zugangsdaten zu bekommen. Google geht davon aus, dass dies über Phishing geschah. Es sind zwar nur wenige Ziele, diese haben es dafür jedoch in sich. Laut Google sind US-Regierungsmitarbeiter, politische Aktivisten aus China, Militärs, Journalisten und Vertreter asiatischer Staaten, insbesondere Südkoreas, von dem Angriff betroffen gewesen.
Die Angreifer hatten laut Google das Ziel, E-Mails zu überwachen, indem beispielsweise Weiterleitungen verändert wurden. Der Angriff wurde mittlerweile unterbunden. Außerdem hat Google die zuständigen Behörden und die Opfer über die Vorfällen informiert.

Google hat China schon öfter vorgeworfen, seine Dienste zu stören. Erst im März 2011 gab es einen Vorfall mit Google Mail. Google warf der chinesischen Regierung vor, den E-Mail-Dienst zu blockieren.

Quelle: http://www.golem.de/1106/83923.html