Google Mail als Spam-Schleuder

Forscher des amerikanisch-brasilianischen Information Security Research Team (INSERT) haben eine Schwachstelle in Googles E-Mail-Dienst GMail entdeckt, die es ermöglicht, über GMail-Konten unbegrenzt Spam zu verschicken. Normalerweise können Nachrichten, die User über das Web-Frontend versenden, höchstens 500 Empfänger haben. Mit ihrem Proof-of-Concept-Programm wollen die Forscher Mails an mehr als 4000 Empfänger gleichzeitig abgesetzt haben.

Anzeige

Ohne genauer auf das Verfahren einzugehen, erklären die Forscher, sie verwendeten in ihren Versuchen den Weiterleitungsmechanismus von GMail. Auf diese Weise sei es ihnen gelungen, ihren Nachrichten eine beliebige Absenderadresse mitzugeben. Mögliche auf den Empfänger-Mailservern installierte Spam-Filter auf der Basis von Blacklists hätten die Nachrichten ungehindert passieren lassen, da sie ja augenscheinlich von dem meist als vertrauenswürdig eingestuften Google-Dienst stammten.

Für ihre Versuche haben die Forscher ein einziges GMail-Konto verwendet und damit elf Nachrichten pro Minute versendet. Wer mehrere Konten gleichzeitig unter seine Kontrolle bringe, könne die Senderate aber leicht verhundertfachen und so von einem einzigen Rechner aus die Leistung eines kleinen Bot-Netzes erreichen. Mehr als ein PC mit Zugang zu den TCP-Ports 25 (SMTP) und 80 (HTTP) sei dazu nicht nötig.

Google ist den INSERT-Spezialisten zufolge über die Schwachstelle informiert. Weitere Details des Hacks wolle man erst nach einer Stellungnahme des GMail-Betreibers veröffentlichen. (hos/c't)