News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

Ratgeber 

Verschlüsselte Messenger: Wire, Hoccer, Kontalk

Schnell mal eine Nachricht an Freunde und Bekannte schicken? Leicht gemacht, mit Instant Messengern. Dabei muss es schon lange nicht mehr WhatsApp sein. Hier stellen wir weitere sichere Messenger mit interessanten Features vor, die noch nicht so bekannt sind.

Mehr
Ratgeber 

Liste: Wichtige Identifier bei Android

In unseren App-Tests und beim Thema Tracking erwähnen wir sie regelmäßig: Sogenannte Identifier, also Identitäts-Informationen wie Android-ID oder IMEI. Wir erklären, was die rätselhaften Abkürzungen bedeuten und was sie mit Privatsphäre zu tun haben.

Mehr
Kinder und Jugendliche 

Kids Zone im Test: Diskrete Kindersicherung

Mit der App Kids Zone können Eltern die Smartphone-Nutzung ihres Kindes beschränken. Die App hat keine Überwachungsfunktion und überträgt keine Daten an den Anbieter. Aus Datenschutzperspektive schneidet sie daher gut ab. Der Funktionsumfang ist jedoch nur für kleinere Kinder ausreichend.

Mehr
Ratgeber 

App-Module (SDKs): So tracken Apps ihre Nutzer

In vielen Apps sind Software-Bausteine enthalten, die nicht vom Hersteller der App stammen, sondern von Analysediensten oder Werbefirmen. Man nennt sie "SDKs" oder "Module". Oft sammeln diese Module Nutzerdaten und schicken sie direkt an ihren Hersteller. Welche Module eine App enthält, sieht man ihr nicht an.

Mehr