Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

Ratgeber 

Soll ich annehmen? Android-App gegen Spam-Anrufe

Sie bekommen lästige Anrufe von Werbefirmen Spammern und Robocallern? Die App mit dem Namen "Soll ich annehmen?" setzt auf den Schwarm: Jeder Nutzer kann Spam-Nummern melden und so die gemeinsame Datenbank ausbauen. Die eigene Nummer oder Adressbücher tastet die App nicht an.

Mehr
YouTube-Video 

Apps gecheckt: Systemreiniger-Apps (Android)

Cleaner-Apps für Android versprechen, den Cache zu leeren, den Arbeitsspeicher aufzuräumen und vor Viren zu schützen. Dabei fordern sie oft heikle Zugriffe aufs Smartphone. Im Video klären wir, welche Funktionen überflüssig sind und wann Cleaner wirklich helfen.

Ansehen
Ratgeber 

Eltern aufgepasst: Wie Apps mit Psychologie und Belohnungen abhängig machen

Spiele-Apps auf dem Smartphone sind bei Kindern beliebt: Bunt, einfach zu verstehen und häufig erstmal kostenlos. Aber der Schein trügt. Was Eltern wissen müssen.

Mehr
Ratgeber 

„Der Messenger funktioniert auf Wunsch komplett anonym“

Würden Sie in Ihrer Wohnung eine Kamera aufstellen, die angezapft werden kann? Falls nicht, sollten Sie sich auch von unsicheren Messengern trennen, sagt Roman Flepp. Er arbeitet für die Schweizer Threema GmbH, die seit 2012 privatsphärefreundliche Chat-Apps für Android und iOS entwickelt.

Mehr