Durch eine Sicherheitslücke in einer Google-Programmierschnittstelle konnte man bis vor Kurzem Mails an GMail-Nutzer schicken, ohne ihre Mailadresse zu kennen. Wie TechCrunch berichtet, musste der Nutzer lediglich eine speziell vorbereitete Webseite besuchen, während er bei Google eingeloggt war. Dies soll sogar im Private-Browsing-Modus, in dem die gesammelten Cookies normalerweise nicht zur Verfügung stehen, funktioniert haben. Die Mails, deren Betreff und Inhalt man frei wählen konnte, gingen von der Mailadresse noreply@google.com aus und wurden mit einem authentischen Header verschickt, sodass der Nutzer kaum eine Chance hatte, sie von einer echten Mail des Suchmaschinenriesen zu unterscheiden.
Entdeckt hat die Lücke der 21-jährige Armenier Vahe G., der seinen Demo-Exploit frei zugänglich von Googles Blogspot-Dienst hosten ließ. Kurze Zeit später sperrte Google den Blog und bestätigte das Problem gegenüber TechCrunch. Inzwischen hat Google die Lücke nach eigenen Angaben in seiner Apps-Script-API aufgespürt und geschlossen. (rei)
Quelle: Heise.de