1809223

Googles Weblogin-Feature birgt massive Sicherheitsrisiken

05.08.2013 | 19:04 Uhr |

Googles vereinfachtes Weblogin-Authentifizierungssystem birgt gravierende Sicherheitsrisiken.

Am Wochenende hat ein Sicherheitsexperte im Rahmen der Defcon Security Conference in Las Vegas auf die Risiken von Googles Weblogin-Authentifizierungsverfahren hingewiesen. Das Feature erlaubt es Android-Nutzern, sich auf Google-Websites einzuloggen, ohne dass sie dafür ihr Passwort benötigen. Die Authentifizierung erfolgt dabei über einen generierten Token.

Weblogin ermöglicht so zwar die unkomplizierte Verbindung zu unterschiedlichen Google-Diensten, gefährdet jedoch die Sicherheit von Google-Accounts für Privatpersonen und Unternehmen. Laut Craig Young von der Security-Firma Tripwire können Angreifer über so genannte Rogue-Apps die Weblogin-Token im Handumdrehen stehlen.

Die zehn wichtigsten Android-Sicherheitstipps

Hacker könnten sich dann mit diesem Token unter anderem bei Google Apps, Gmail, Drive, Kalender und Voice über den gestohlenen Account anmelden. Young gelang dieser Trick mit einer Malware-App, die sich im Play Store als Betrachter für Google Finance ausgab. Bei der Installation verbindet sich die App dann mit den auf dem Smartphone registrierten Konten und greift so auch die Weblogin-Token ab. Einmal im Besitz dieser Token können Hacker nicht nur in den Dokumenten des Nutzers stöbern, sondern auch Apps per Fernsteuerung installieren oder sich auf anderen Websites einloggen, die Googles Weblogin ebenfalls unterstützen. Laut Young müsste Google hier mehr Aufklärungsarbeit leisten, damit sich Nutzer über die Gefahren von Weblogin im Klaren sind.

Video: Wichtige Security- Apps für Android
0 Kommentare zu diesem Artikel
1809223