Google Buzz kampt met beveiligingslek
Stelt zichzelf open voor hackers
17 februari 2010 | Jeroen Geuens
Dankzij een alledaagse programmeerfout zouden hackers duizenden Google-accounts kunnen overnemen, verklaarde een beveiligingsexpert gisteren. Volgens SecTheory-baas Robert Hansen is het een middelgroot probleem met de mobiele website van Google Buzz.
Het lek valt onder de cross site scripting-fouten, kortweg XSS. Een hacker kan zijn eigen code toevoegen op webpagina’s die bij een veilig domein horen, zoals Google.com. Het is een veelvoorkomende fout, maar een die desastreuze gevolgen kan hebben voor grootschalige websites.
“De hacker kan dingen zeggen in jouw naam, dingen die je helemaal niet wil”, vervolgt Hansen. “Wat Buzz jou toelaat, laat het ook de hacker toe. Tegen je.”
Phishing
Omdat men het lek kan uitbuiten door dingen op het Google-domein te plaatsen, kunnen ze ook phishingaanvallen starten tegen Google-gebruikers. “Als ze dit lek niet dichten, kan het erg nare gevolgen hebben voor iedere gebruiker van de website. Mensen denken dat ze iets in een legitieme Google-pagina typen, terwijl dat in werkelijkheid niet is.”
Een Google-woordvoerder bevestigt dat het bedrijf het lekt aanpakt. “We zijn ons bewust van de zwakke plek in de mobiele versie van Buzz. Er wordt hard gewerkt om het lek te dichten. Er zijn echter geen aanwijzingen dat dit probleem actief misbruikt wordt.”
Dit is echter slecht nieuws voor Buzz: de jongste applicatie van Google kwam de afgelopen dagen meermaals in het nieuws omdat zij nogal losjes omspringt met de privacy van haar gebruikers. Hieronder zie je een tijdslijn.
- 9 februari: Buzz wordt gelanceerd.
- 10 februari: De eerste klachten over privacy steken de kop op. De standaardinstellingen geven zonder pardon je contactpersonen vrij aan iedere persoon die je publieke profiel bezoekt.
- 11 februari: De eerste Buzz-update laat je makkelijker uitschrijven …
- 12 februari: … maar toch niet makkelijk genoeg. Google ontvangt klachten van een vrouw die beweert dat haar agressieve ex-man plots toegang kreeg tot al haar privé-informatie.
- 13 februari: Google gaat er helemaal voor. De opt-out-procedure en het auto-volgen van contacten wordt vervangen door opt-in met autosuggestie.
- 15 februari: Google belooft meer aanpassingen, inclusief een mute-optie. “Sommige mensen vinden het nu te ‘lawaaierig’ in hun inbox. We werken nu aan een beter beheer van berichten”, zegt een Google-woordvoerder.
bron: ZDNet
» Bèta Windows 8 mist startknop
news
Uit gelekte screenshots blijkt dat Microsoft de startknop die al aanwezig is sinds Windows 95 uit de binnenkort te verschijnen bèta van Windows 8 heeft gehaald.
» 'iPad 3 wordt in maart gelanceerd'
news
De kans is groot dat de volgende iPad in de eerste week van maart al wordt voorgesteld.
» Op Facebook verlies je al jouw rechten
news
Wie zichzelf als particulier, bedrijf of zelfstandige promoot via Facebook, stuit op zeer strikte voorwaarden. De site bezit alles en mag je voor het minste buitengooien.
Review: Never Dead
Game
"Schiet me maar aan flarden, ik raap me wel terug bijeen!", Huh? Innovatie is leuk, maar een hoofdrolspeler die zijn eigen lichaam verzamelt, is nieuw. Brengt Never Dead nog meer nieuwigheden of blijft het hier bij?
