Eine Warnung im vorraus. In diesem Microblog landet viel an nonsesens und irrelevantem. Das meiste hierzu bezieht sich auf oder wurde geschrieben aufgrund aktuellen Ereignisse. Überwiegend sind es Gedanken die ohne vorherige Filterung ins geschriebene umgesetzt wurden und anschließend nie wieder gegen gelesen wurden. Sollte es dort missfallende Beiträge geben, werde ich diese bei ausreichender Erklärung auch wieder entfernen.

Googles Sicherheitslücke

Gestern ging ja eine bei TechCrunch erwähnte Sicherheitslücke in Google Konten durch einige deutsche Medien. Das ist ja an sich nichts neues und auch gar nichts, worüber man groß reden braucht. Lustig wirds, wenn man sich die Artikel ansieht und dann mit dem vergleicht, was sie tatsächlich an Informationen zur Verfügung haben.

  1. Wir haben den Nutzer der Sicherheitslücke welche behauptet, dass man Google App nutzer darüber verfolgen kann.

  2. Besucher der Seite haben durch die Sicherheitslücke eine Mail im Postfach.

  3. Wir haben inzwischen das Statement von Google zu der Sicherheitslücke. Dort ist nur noch die Rede von der Möglichkeit Emails an die Betroffenen zu senden.

Beleuchten wir die 3 Informationen die wir haben doch einmal näher.

Info 1 impliziert tatsächlich auf den ersten Blick, dass er die Mailadresse meinen könnte. Es kann sich theoretisch aber auch um eine scheinbar eindeutige ID handeln die App Nutzer besitzen. (Da ich nie einen Google Apps Account hatte, hab ich dazu aber auch keine Ahnung)

Info 2 legt nahe, dass er tatsächlich in den Besitz der Mailadresse gekommen ist.

Info 3 schenkt man in diesem moment nur noch halbe Beachtung. Dadurch denkt man dann etwa wie folgt: "logisch, wenn er die Email hat, kann er mir dadurch auch Mails senden"

Das klingt doch alles völlig schlüssig. Schaut man sich jedoch die Mail näher an, dann ist zu erkennen, dass sie über einen Google Dienst gesendet wurde. Der Absender ist noreply@google.com, signed-by google.com und mailed-by maestro.bounces.google.com

Am interessantesten ist hier wohl der mailed-by part. Google Calendar nutzt hier übrigens calendar-server.bounces.google.com, daher nehme ich an, dass die bounces.google.com für Dienste von Google verwendet werden. Ein kurzes googlen bestätigt dann auch, dass maestro.bounces.google.com für Mails über die App Schnittstelle verwendet wird.

Letzendlich weis man trotzdem nicht sicher, ob er tatäschlich emailadressen sammeln konnte oder nicht. Aber sicher ist, dass zb. Spiegel aber auch der GoogleWatchBlog davon ausgingen, dass er es kann. (beim googlewatchblog erkennt man es nur noch daran, dass in der URL der ursprüngliche Titel vermerkt ist)