Dansker gennemhuller sikkerheden i Google Wave med Gadgets

Danske Thomas Stig Jacobsen har fundet et sikkerhedshul i Google Wave, som kan udnyttes ved hjælp af systemets såkaldte gadgets, som er små komponenter, der kan indsættes i en Wave-besked.

»Vi har prøvet det af i vores lab, og kan bekræfte, at det fungerer,« siger sikkerhedsekspert Peter Kruse fra CSIS til Version2.

»Problemet er cross site-scripting og manglende sanitering af Javascript, som blandt andet kan misbruges ved at udforme gadgets, som jo kan deles i Google Wave-baskeder med andre brugere, og den gagdet, som er indlejret , bliver aktiveret i det øjeblik en bruger klikker på en meddelelse. Det betyder, at den pågældende gadget kan indeholde et script, som f.eks. kan videredirigere brugeren til et fjendtlig webside eller potentielt opsamle cookies via Javascript eller andre oplysninger fra systemet.«

Cross site scripting-angreb findes på mange sider og applikationer, i særdeleshed hvor kompleksiteten er høj, som i Google Wave. Derfor er det svært selv for store spillere som Google at sikre sig, at koden opfører sig som forventet.

Peter Kruse betegner hullet som en »medium trussel« ud fra en risikovurdering. På grund af mængden af brugere på Google Wave, er hullet attraktivt for it-kriminelle. Men han mener dog ikke, at brugerne behøver at flygte fra Wave på grund af hullet.

»Nu er hullet åbent. Hvis du modtager beskeder hvor der er indlejret en gadget, så skal man ikke klikke på den, før dette hul er fikset.«

Det er ikke muligt at slå visning af gadgets fra i Google Wave.

CSIS har nu rapporteret sikkerhedshullet til Google.

Der er mere information om hullet på Thomas Stig Jacobsens blog, som kan findes via det eksterne link herunder.