News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

App-Test 

mytaxi: Taxis bestellen und bezahlen

Mytaxi ist eine kostenlose App, mit der man Taxis bestellen und per Kreditkarte oder PayPal bezahlen kann. Sie ist in vielen Deutschen Städten verfügbar und bietet für Kunden eine Alternative zur Taxizentrale. Hinter mytaxi steht die Daimler AG.

Mehr
Ratgeber 

FairEmail: Datensichere Mail-App kurz vorgestellt

FairEmail ist ein datenschutzfreundlicher E-Mail-Client für Android. Die App zur Verwaltung von Mails auf dem Smartphone ist frei von Trackern und Werbung und bindet auch keine Drittanbieter ein. Anbieter ist der niederländische Entwickler Marcel Bokhorst.

Mehr
Firewalls und VPNs 

Firewall ohne Root: So richten Sie die App ein (Android)

Mit der App "Firewall ohne Root" (früher: NoRoot Firewall) kann man kontrollieren, welche Verbindungen Apps ins Internet aufbauen. Die App bietet viele Filtermöglichkeiten, ist aber auch etwas unübersichtlich. Wir zeigen die wichtigsten Schritte zur Einrichtung.

Mehr
Ratgeber 

Welche Apps helfen im Katastrophenfall?

Anschlag in Halle, Waldbrand in Brandenburg, Unwetter in der Adria oder Erdbeben in Indonesien – in vielen Katastrophenfällen kommen mittlerweile Apps zum Einsatz. Welche technischen Helfer sich wann eignen, erfahren Sie hier.

Mehr