Google Buzz åpen for hackere

Google Buzz åpen for hackere

Utviklertabbe åpner Buzz-kontoer, og brukerne oversvømmes av spam.

En vanlig webutviklingstabbe kan gjøre det mulig for hackere å overta Google Buzz-kontoer.

Google Buzz' nettside for mobiltelefoner har en kryssideskriptingssårbarhet (XSS). Feilen gjør at hackere med onde hensikter kan putte inn sin egen kode på nettstedet. Det er en av de vanligste feilene som oppstår under webutvikling, og kan få store konsekvenser.

Det var Robert Hansen, administrerende direktør i selskapet Sectheory, som først slo alarm om feilen etter å ha fått tips om saken fra en hacker som kaller seg Trainreq – som er mest kjent for å poste bilder fra popstjernen Miley Cyrus' epost-konto på internett.

Nettfiske-fare

En stor fare er at feilen Trainreq avdekket kan utnyttes til nettfiskeangrep.

- Alt Google Buzz tillater deg å gjøre, kan hackeren gjøre mot deg, sier Hansen til Computerworlds internasjonale nyhetstjeneste.

- Om feilen forblir ufikset vil det være en skandale for enhver bruker av nettstedet. Den kan lett brukes til å lure brukere til å tro at de skriver noe i et legitimt Google-innloggingsfelt når de egentlig er på en helt annen side.

Google bekrefter sårbarheten forklarer at de for tiden jobber med å få på plass en fiks. De har ingen indikasjoner på at feilen aktivt utnyttes.

Spam-angrep

Men Google Buzz får kritikk også fra andre hold. Få dager etter lansering ble tjenesten også et attraktivt mål for spammere, ifølge sikkerhetsselskapet Websence. Selskapet understreket at analytikere har forventet at Buzz kom til å bli offer for spam-angrep, men ingen forventet at det skulle skje såpass tidlig.

- Da Twitter ble lansert tok det litt tid før det ble brukt til å sende spam og andre ondsinnede beskjeder. Med Google Buzz tok det bare to dager. Det er tydelig at ondsinnede folk har lært fra sin erfaring med å bruke sosiale nettverk til å distribuere denne type beskjeder, skriver selskapet på sin side.

Sosiale Medier