Googles kostenlose Desktop-Suche ist populär: Die neue Version 2.0 der Software wurde bereits millionenfach heruntergeladen. Mit dem Programm ist es möglich, den Inhalt des gesamten PCs zu durchsuchen, ähnlich wie man dies bereits von der Google-Websuche kennt: Die Abfragemaske steht im Browser bereit, wo auch die Suchergebnisse dargestellt werden.

Matan Gillon, ein israelischer IT-Sicherheitsexperte, fand nun einen Weg, auf Suchergebnisse der Google Desktop-Suche von außen zuzugreifen: In Verbindung mit dem allgemein als unsicher geltenden Microsoft-Browser Internet Explorer (IE) gelang es ihm, sensible Benutzerdaten vom PC zu beziehen, die eigentlich nur dem Benutzer vor dem Rechner zur Verfügung stehen sollten.

Gillon verfasste auch gleich einen so genannten «Demo Exploit», ein Beispielprogramm: Damit war es möglich, mit Hilfe von Google Desktop vom Web aus nach Passwortdaten eines Benutzers zu suchen. Dazu musste dieser sich nur zuvor mit dem IE auf eine manipulierte Website begeben. Die aufgefundenen Informationen wurden anschließend ins Web weitergeleitet.

Laut Gillon liegt das Problem vor allem in Microsofts Internet Explorer, nicht in Googles Software: Dieser biete eine Angriffsfläche, die so genannte Cross-Domain-Atacken möglich mache. Der Angreifer müsse einen IE-Benutzer nur zuvor auf eine von ihm manipulierte Website schicken.

Googles Techniker haben das Problem inzwischen erkannt: Wie Gillon auf seiner Website mitteilte, habe die Suchmaschine zwischenzeitlich eine Veränderung am Code ihres Angebotes vorgenommen. Zumindest sein «Demo Exploit» funktioniere nun nicht mehr. Dennoch empfiehlt er, den Browser Firefox zu benutzen, der gegen die Attacke grundsätzlich geschützt sei.

Für das Web ediert von Ben Schwan