Dankzij een alledaagse programmeerfout zouden hackers duizenden Google-accounts kunnen overnemen, verklaarde een beveiligingsexpert gisteren. Volgens SecTheory-baas Robert Hansen is het een middelgroot probleem met de mobiele website van Google Buzz. Het lek valt onder de cross site scripting-fouten, kortweg XSS. Een hacker kan zijn eigen code toevoegen op webpagina’s die bij een veilig domein horen, zoals […]

Advertentie

Dankzij een alledaagse programmeerfout zouden hackers duizenden Google-accounts kunnen overnemen, verklaarde een beveiligingsexpert gisteren. Volgens SecTheory-baas Robert Hansen is het een middelgroot probleem met de mobiele website van Google Buzz.

Het lek valt onder de cross site scripting-fouten, kortweg XSS. Een hacker kan zijn eigen code toevoegen op webpagina’s die bij een veilig domein horen, zoals Google.com. Het is een veelvoorkomende fout, maar een die desastreuze gevolgen kan hebben voor grootschalige websites.

“De hacker kan dingen zeggen in jouw naam, dingen die je helemaal niet wil”, vervolgt Hansen. “Wat Buzz jou toelaat, laat het ook de hacker toe. Tegen je.”

[related_article id=”158901″]

Phishing
Omdat men het lek kan uitbuiten door dingen op het Google-domein te plaatsen, kunnen ze ook phishingaanvallen starten tegen Google-gebruikers. “Als ze dit lek niet dichten, kan het erg nare gevolgen hebben voor iedere gebruiker van de website. Mensen denken dat ze iets in een legitieme Google-pagina typen, terwijl dat in werkelijkheid niet is.”

Een Google-woordvoerder bevestigt dat het bedrijf het lekt aanpakt. “We zijn ons bewust van de zwakke plek in de mobiele versie van Buzz. Er wordt hard gewerkt om het lek te dichten. Er zijn echter geen aanwijzingen dat dit probleem actief misbruikt wordt.”

Dit is echter slecht nieuws voor Buzz: de jongste applicatie van Google kwam de afgelopen dagen meermaals in het nieuws omdat zij nogal losjes omspringt met de privacy van haar gebruikers. Hieronder zie je een tijdslijn.

  • 9 februari: Buzz wordt gelanceerd.
  • 10 februari: De eerste klachten over privacy steken de kop op. De standaardinstellingen geven zonder pardon je contactpersonen vrij aan iedere persoon die je publieke profiel bezoekt.
  • 11 februari: De eerste Buzz-update laat je makkelijker uitschrijven …
  • 12 februari: … maar toch niet makkelijk genoeg. Google ontvangt klachten van een vrouw die beweert dat haar agressieve ex-man plots toegang kreeg tot al haar privé-informatie.
  • 13 februari: Google gaat er helemaal voor. De opt-out-procedure en het auto-volgen van contacten wordt vervangen door opt-in met autosuggestie.
  • 15 februari: Google belooft meer aanpassingen, inclusief een mute-optie. “Sommige mensen vinden het nu te ‘lawaaierig’ in hun inbox. We werken nu aan een beter beheer van berichten”, zegt een Google-woordvoerder.