News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

Ratgeber 

iOS 12: Die wichtigsten Neuerungen für Privacy und Sicherheit

Die aktuelle Version des mobilen Betriebssystems von Apple glänzt vor allem mit Leistung und Schnelligkeit. Doch auch in Sachen Privacy und Sicherheit hat sich was getan. Vor allem beim Tracking-Schutz, bei der Passwort-Verwaltung und beim Schutz vor ungewolltem Auslesen hat Apple nachgelegt.

Mehr
App-Test 

App-Test: Clash of Clans (Android)

„Clash of Clans“ ist eine kostenlose App für Strategie-Fans. In einer Fantasy-Welt muss der Spieler seine Basis kontinuierlich ausbauen und vor Angriffen schützen. Mögliche Spielspaß-Bremsen: Die Übermittlung sensibler Informationen und teure In-App-Käufe.

Mehr
App-Test 

Karneval mit Handy? Unsere App-Tipps

Im Play-Store finden sich zum Suchwort „Fasching“ dutzende Apps. Viele davon können nicht mehr als einen Tusch abspielen, sind aber vollgestopft mit Werbung und Trackern. Wir haben vier Karneval-Apps herausgesucht, die Sie bedenkenlos nutzen können.

Mehr
Browser und Suchmaschinen 

Add-on „uBlock Origin“ richtig einstellen (Firefox für Android)

Das Add-on "uBlock Origin" für den Firefox-Browser ist Werbe- und Tracking-Blocker in einem. Das Open-Source-Projekt legt höchsten Wert auf Unabhängigkeit und macht keine Kompromisse. In der Szene genießt "uBlock Origin" daher einen exzellenten Ruf.

Mehr