Widgets - auch als Gadgets bezeichnet - sind kleine grafische Web-Anwendungen, die speziell für ein Betriebs-System, einen Browser oder eine andere Software entwickelt wurden. Sie erleichtern Anwendern den Zugang zu häufig benötigten Funktionalitäten.
Millionenpublikum für Cyber-Kriminelle
Als Laufzeitumgebung der Widgets fungiert eine so genannte “Widget Engine”. Vor allem Microsoft, Google und Apple haben inzwischen mehrere Tausend dieser Mini-Anwendungen im Angebot. Allein bei Google sind nach Angaben des Sicherheitsanbieters derzeit 3.720 Widgets zu haben, auf der Website von Apple gibt es 3.197 und bei Facebook sind derzeit 3.959 dieser kleinen Programme zu finden.
Viele davon würden mittlerweile von mehreren Millionen Internet-Nutzern eingesetzt. Aber auch Anbieter von Geschäfts-Software, wie etwa SAP, setzen bei der Modellierung von grafischen Benutzeroberflächen ihrer Anwendungen verstärkt auf Widgets, beispielsweise um Arbeitsvorräte anzuzeigen.
Das macht Widgets zunehmend interessant für Angreifer, die damit auf einen Schlag ein "Millionenpublikum" erreichen. Gefährdet sind alle Widgets - unabhängig davon, ob es sich um Applikationen für ein Betriebs-System, den Browser oder andere Anwendungen handelt. Die Sicherheits-Experten warnen deshalb vor deren sorgloser Installation und Verwendung auf Computern und weisen auf die Bedrohungen hin, die davon ausgehen können.
Sicherheit wird klein geschrieben
Zwar sind die Mini-Anwendungen grafisch ansprechend gestaltet, doch darüber wurden offenbar sicherheitsrelevante Aspekte sträflich vernachlässigt. Widgets sind im Prinzip vollständige Anwendungen, die daher auch den gleichen Gefahren ausgesetzt sind wie beispielsweise eine E-Mail-Software. Die Spezialisten fanden viele Widgets, die durch eine Reihe von Web-Attacken angreifbar sind.
Das Contact-Widget des Betriebs-Systems Windows Vista wies beispielsweise eine Schwachstelle auf, die es Hackern durch Ausführen eines Codes ermöglichte, Zugriff auf die gespeicherten Kontakte des PC-Users zu erlangen. Ein ähnliches Problem entdeckte der Sicherheitsanbieter auch im Contact-Widget von Yahoo.
Der RSS-Reader des Dienstes Live.com hatte eine Lücke, die es Hackern ermöglichte, persönliche Informationen über den Inhaber des Benutzerkontos auszuspionieren. Zudem ließ sich die Kontrolle über den Browser übernehmen. Zwar seien die benannten Schwachstellen beseitigt worden, doch zeigt sich daran die Sorglosigkeit der Entwickler was Sicherheits-Aspekte angeht.
Strikte Richtlinien
Im Umgang mit Widgets empfehlen die Sicherheits-Experten vor allem von unzuverlässigen 3rd-Party-Widgets die Hände zu lassen. Erhöhte Vorsicht ist ebenso bei interaktiven Widgets geboten, da über sie besonders leicht Schad-Codes auf Rechner geschleust werden können.
Speziell Unternehmen sollten durch strikte Richtlinien die Verwendung der Mini-Programme eingrenzen. Zusätzlich wäre es eine Möglichkeit, den Widget-Download im Gateway zu blocken, um das Gefahrenpotenzial von vornherein zu eliminieren. Doch hier liegt noch viel Arbeit vor den IT-Verantwortlichen, denn Widgets werden nicht als geschäftskritische Anwendungen betrachtet, sondern lediglich als nützliche Helferlein.
Angreifern einen Schritt voraus
Zu diesen Ergebnissen kommt das Malicious Code Research Center (MCRC) des Sicherheits-Anbieters Finjan im "Web Security Trends Report" für das dritte Quartal 2007. Das MCRC widmet sich der Erforschung und Entdeckung von Sicherheitsschwachstellen im Internet, in E-Mail-Applikationen und anderen Software-Anwendungen. Die Forscher des MCRC arbeiten hierzu weltweit mit zahlreichen Software-Anbietern wie IBM, Oracle, Checkpoint sowie Netzwerkausrüster Cisco zusammen.