Blogs als Spyware-Schleudern
Der Harvard-Jurist Ben Edelman macht auf ein weiteres Spyware-Problem aufmerksam: Blogs werden inzwischen missbraucht, um solchen Code zu verbreiten. Und einer der größten Blog-Hoster, Google, unternimmt nichts dagegen.
Der Jurist Alvin Borromeo, selbst Betreiber des Blogs "MT Law Blog", beschreibt, wozu das führt. Er hat die von Blogger.com (bzw. Blogspot.com, Google) genutzte Funktion "next Blog" genutzt, um sich einige zufällig ausgewählte Tagebücher anzusehen. Plötzlich erschienen trotz Blocker-Software Pop-Ups auf dem Bildschirm und obwohl er den Browser sofort schloss, war sein Rechner verseucht.
Das ist kein Einzelfall, wie Edelman nun schreibt. Er verweist auf erste Hinweise auf solche Vorgänge, die im September vergangenen Jahres dokumentiert wurden. Und er selbst hat die Verantwortlichen bei Google in der vergangenen Woche über seine Informationen in Kenntnis gesetzt. Eine Reaktion blieb aber aus.
Dabei kann Edelman schlüssig erklären, worin das Problem besteht. Er kann sogar Ross und Reiter nennen, wenn es um die Verantwortlichen geht. Die Betreiber der Site iWebTunes.com, die kostenlose musikalische Untermalung für Blogs anbieten, schleusen zusammen mit ihrem Code Java Script-Anweisungen auf die Blog-Seiten ein. Dieser Code öffnet Pop-Ups mit falschen ActiveX-Sicherheitswarnungen, die dazu dienen, den Download von Spyware zu aktivieren. Für jeden so abgeschlossenen Download erhält das Unternehmen eine Provision.
Aus technischer Sicht ließe sich dieses Problem ganz einfach dadurch beheben, die Script-Sprache in den Blogs nicht zuzulassen. Dazu ist Google beziehungsweise Blogger.com technisch in der Lage, denn den Blog-Betreibern ist es in ihren Postings schon jetzt nicht gestattet, Java Script zu benutzen. In den HTML-Templates dagegen schon.
Damit gerät Google aber in eine zweideutige Lage. Denn einerseits hat das Unternehmen in seinen "Software Principles" Richtlinien für die legitime Software-Installation und -Nutzung festgelegt und spricht sich dort beispielsweise eindeutig dagegen aus, den Anwender durch Tricks zur Installation zu bringen. Doch andererseits geschieht genau das jetzt unter Googles eigenem Dach und die Suchmaschine lässt die Verantwortlichen gewähren.
Sind ein schickes Design und andere an Java Script gebundene Blog-Merkmale es wirklich wert, die eigenen Prinzipien zu missachten und die Sicherheit der Anwender zu gefährden?