Update: Rätselraten um Sicherheitsloch in Googles Web-Mail-Service

Vor zwei Tage wies der Web-Entwickler Brandon Partridge in einem Weblog-Beitrag auf ein Sicherheitsloch in Googles E-Mail-Service Google Mail hin. Nun debattieren Experten darüber, wie sicher der Service von Google ist und ob Web-Mail-Dienste an sich als Transportmedium für wichtige Nachrichten in Frage kommen.

Wie gestern berichtet, hat Brandon Partridge im Weblog Geek Condition einen Beitrag veröffentlicht, in dem er auf eine massive Sicherheitslücke in Googles Web-Mail-Dienst Gmail beziehungsweise Google Mail (so heißt er in Deutschland) hinwies.

Es sei für Angreifer möglich, E-Mails an bestimmte Empfänger abzufangen und aus der Eingangs-Mailbox des Adressaten zu löschen. Dieser würde daher nicht erfahren, dass eine Nachricht an ihn verschickt worden sei.

Wie das Verfahren im Detail funktioniert, teilte Partridge in dem Beitrag nicht mit. Google teilte inzwischen mit, das Unternehmen wolle sich deshalb mit dem Entwickler in Verbindung setzen.

Allerdings wies Google Vermutungen zurück, die Schwachstelle beschränke sich auf Gmail. »Wir verwenden Standardverfahren, um Cookies zu schützen, so wie die meisten Web-Dienste, die auf http basieren«, so ein Sprecher der Firma. »Außerdem bieten wir als Option an, dass User eine sichere https-Verbindung einsetzen.«

Der IT-Sicherheitsexperte Petko. D. Petkov von GNUCitizen.org sagte, das Angriffsverfahren bei Gmail sei vermutlich eine Art Cross-Site-Scripting (XSS). Solche XSS-Schwachstellen in Google seien nichts Ungewöhnliches, so Petkov weiter. In den vergangenen Monaten seien etliche Exploits aufgetaucht, die diese Löcher ausnutzten.