Firesheep hackt Google's webgeschiedenis

Kwaadwillenden kunnen Firefoxplug-in Firesheep zo aanpassen dat ze de webgeschiedenis van Googlegebruikers kunnen achterhalen. Ook de sociale netwerken van de gebruiker zijn inzichtelijk.

Onderzoekers Toubiana en Verdot van Alcatel-Lucent pasten de code van de plug-in aan en voerden tests uit met 10 proefpersonen. In het experiment achterhaalden de onderzoekers 11% tot 82% van deze webgeschiedenis van de gebruikers.

Onveilige SID-cookies
De techniek is gebaseerd op de SessionID-cookies (SID). Google gebruikt deze cookies om gebruikers te identificeren en diensten op maat te leveren, zoals de personalisering van zoekresultaten van een gebruiker. Deze cookie moet volgens de onderzoekers niet verward worden met de SSID-cookie. Hiermee verleent Google de gebruikers toegang tot hun gebruikersdata van Gmail en Google Calender.

Bij elke Googledienst die wordt gebruikt, verstuurt de webbrowser een SID-cookie naar de servers van Google. Hoewel het merendeel van de Google's domeinen zijn beveiligd via een HTT*S-connectie, geldt dit niet voor allemaal (zoals Google Alerts en Google Wallet). Om de informatie te onderscheppen is een bezoek aan een dergelijke onbeveiligde site voldoende. Wanneer dat gebeurde, verscheen de accountnaam in de sidebar van Firefox en kregen de onderzoekers toegang tot de webgeschiedenis.

Sociale contacten zichtbaar
Met deze toegang waren de geraadpleegde websites van de gebruikers in te zien. Websites die door gebruikers veel werden geraadpleegd stonden bovenaan in de lijst. Gedeelde hyperlinks via sociale netwerken als Twitter werden eveneens weergegeven in de resultaten. De plug-in werkte volgens de onderzoekers alleen wanneer de gebruikers via onbeveiligd WiFi-netwerken surften en zij Google Web History aan hadden staan.

Gebruikers kunnen dus de webhistory uitzetten of via beveiligde WiFi-netwerken surfen als ze niet kwetsbaar willen zijn voor deze aanval. Naast deze maatregelen blijft er gevaar bestaan voor gebruikers doordat de data van onder andere Google+ wordt gebruikt in de zoekresultaten. "Sommige maatregelen kunnen gebruikers niet zelf nemen en vereisen een aanpassing van Google's cookiebeleid. Omdat Google stappen onderneemt om sociale indicatoren te implementeren in gepersonaliseerde zoekresultaten, kunnen de sociale netwerken van gebruikers binnenkort openbaar worden gemaakt", stellen de onderzoekers.

Google's reactie
Een woordvoerder van Google vertelt The Register dat zij de nieuwe hacktool niet als bedreiging zien: "We zien de resultaten als academisch van aard en niet als aanzienlijk risico voor gebruikers. Google Web History en Web Search Suggestion verlopen via HTT*S en we hebben de back-endservers die daarmee gepaard gaan versleuteld. In de toekomst zullen we onze diensten nog beter beveiligen met SSL technologieŽn, inclusief veranderingen die specifiek gericht zijn op het beschermen van gestolen cookies die gebruikt worden om toegang tot zoekdata te verkrijgen."

De onderzoekers zelf raden gebruikers ten slotte aan om simpelweg niet in te loggen op Google's diensten via openbare netwerken, en om te surfen via een VPN-verbinding.