Sicherheitslücken in Google Docs

30. März 2009, 14:42
  • security
image

Nach dem Bericht eines Analysten über "Google Docs", Googles Online-Tool zum Teilen und gemeinsamen Bearbeiten von Dokumenten, wird derzeit eine Diskussion über die Sicherheit des Angebots geführt.

Nach dem Bericht eines Analysten über "Google Docs", Googles Online-Tool zum Teilen und gemeinsamen Bearbeiten von Dokumenten, wird derzeit eine Diskussion über die Sicherheit des Angebots geführt. Google hat öffentlich auf die vorgeworfenen Sicherheitslücken reagiert und versucht, die Benutzer der Kollaborationsplattform zu beruhigen, berichtet 'IDG News Service'.
Die im deutschen Sprachraum Google 'Text & Tabellen' genannte Plattform wird dazu verwendet, um Dokumente online zu verfassen oder hochzuladen und gemeinsam mit anderen zu bearbeiten. Dabei kann man gleichzeitig den Entstehungsprozess eines Dokuments im Auge behalten, da man auch immer noch auf frühere Versionen zugreifen kann. Der Bericht des Analysten Ade Barkah von BlueWax, einer Beratung für Unternehmenssoftware, zeigt drei Schwachstellen auf, die es nicht autorisierten Personen ermöglichen, auf Informationen innerhalb von Google Docs zuzugreifen.
Eines der gefundenen Probleme betrifft die Möglichkeit, dass jemand, dem die Zugriffberechtigung für ein Dokument entzogen wurde, weiterhin auf dieses zugreifen kann, ohne dass der Autor des Dokuments davon erfährt. Genauere Informationen hat der Analyst dazu noch nicht veröffentlicht, um Google Zeit zu geben, das Problem zu beheben.
Eine weitere Lücke betrifft Fotos und Grafiken, die in Dokumente eingebunden werden können. Diese erhalten ihre eigene URL, wodurch auch noch Zugriff auf sie besteht, wenn das eigentliche Dokument bereits gelöscht wurde. Eine Person, der einmal Zugang zum Dokument gewährt wurde, kann durch die bekannte Bild-URL daher auch nach Entzug der Zugriffsrechte direkt auf die Bilder zugreifen. Die letzte Schwachstelle betrifft Diagramme innerhalb eines Dokuments. Jemand, mit dem das Dokument geteilt wird, kann über eine Modifikation der Bild-URL alle vorherigen Versionen des Diagramms abrufen.
Zum Letzteren meint Google Docs Produktmanager Jonathan Rochelle dass es gewollt sei, dass die Revisionsgeschichte eines Dokuments auch für Externe mit Zugriffsrechten sichtbar sei. Das könne vermieden werden, indem das Dokument unter neuem Namen abgespeichert würde. Rochelle hat nur einen Tag nach der Veröffentlichung des Berichts in seinem offiziellen Blog zu den Vorwürfen Stellung genommen. Er beurteilt die gefundenen Schwachstellen darin nicht als kritisch.
In seinem Eintrag gibt sich Rochelle jedoch trotzdem dankbar für den Bericht des Analysten: "Wir untersuchen alternative Design-Optionen, die möglicherweise diese Bedenken auflösen können. Wir möchten dem Forscher dafür danken, dass er seine Ergebnisse mit uns geteilt hat." Auch Barkah ist auf Google gut zu sprechen: "Ich schätze das exzellente Feedback, das ich von Google Security bekomme. Ich werde meine neuersten Erkenntnisse weiterhin mit ihnen teilen und werde mehr dazu sagen können, sobald unsere Analyse komplett ist." Derzeit untersuche Barkah gerade neue Details und weitere Szenarios. (--http://www.pressetext.ch/pte.mc?pte=090330003—pte--)

Loading

Mehr zum Thema

image

"Der Kanton Basel-Stadt hat Nachholbedarf"

In Basel wurde eine Motion zur Stärkung der Cybersicherheit angenommen. Zwei Mitautoren erklären uns die Beweggründe und was sie sich vom Vorstoss erhoffen.

publiziert am 13.6.2022 1
image

Ransomware: "Wir bleiben verletzlich"

Schlaue Kriminelle, Staatshacking-Niveau und prophylaktisches Lösegeld. Drei Schweizer Security-Experten äussern sich zur Situation.

Von publiziert am 10.6.2022 1
image

Podcast: das Jahr der Ransomware

Es vergeht keine Woche, in der kein neuer Cyberangriff auf Schweizer Unternehmen publik wird. Wir blicken zurück, analysieren, und schauen in die Zukunft. Spoiler: Sie ist nicht gut.

publiziert am 10.6.2022
image

Nationalrat will Meldepflicht bei Cyberangriffen

Die grosse Kammer hat ein Postulat, das einen besseren Schutz gegen Ransomware-Angriffe ermöglichen soll, äusserst knapp angenommen.

publiziert am 9.6.2022 1