Google weblogin: Sicherheitslücke erlaubt Hackern Übernahme des Google-Kontos

Daniel Kuhn 1

Theoretisch ist Googles weblogin-Feature eine tolle Sache, die es dem Nutzer erlaubt, sich auf Google-Webseiten mit den auf einem Android-Gerät gespeicherten Login-Daten anzumelden. Ein Hacker hat nun allerdings eine massive Sicherheitslücke ausgemacht, die es ihm mithilfe einer entsprechenden App erlaubt, diese Login-Daten auszulesen und somit auf das entsprechende Google-Konto zuzugreifen.

Am Wochenende fanden in Las Vegas die beiden Hacker-Konferenzen Blackhat und Defcon statt. Und wie jedes Jahr machen danach Meldungen über Sicherheitslücken aller Art die Runde. In diesem Jahr trifft es Googles mobile OS Android ziemlich stark – genauer den Service Google weblogin, der es dem Nutzer ermöglicht, sich mit dem auf dem Smartphone oder Tablet angemeldeten Konto auf Google-Webseiten im Browser anzumelden. Zu diesem Zweck wird ein individueller Token erstellt, den der Entdecker der Sicherheitslücke Craig Young mithilfe einer speziellen App an sich selber sendet.

Sobald ein Hacker in Besitz dieses Token ist, kann er sich in das entsprechende Google-Konto in jedem Web-Browser einloggen und erhält somit Zugriff auf sämtliche dort hinterlegten Informationen wie E-Mails, Kalendereinträge, in Google Drive gespeicherte Dokumente und viele andere Daten.

Young hat zu diesem Zweck eine Rogue-App geschrieben, die sich als Betrachter für Google Finance ausgibt. Diese App hat er regulär in den Play Store gestellt, in der Beschreibung aber klar darauf hingewiesen, dass es sich um Malware handelt und von der Installation abgeraten.

Bilderstrecke starten(23 Bilder)
Googles Friedhof: 23 Projekte, die vom Mega-Konzern zu Grabe getragen wurden

Die App fragt bei der Installation nach einer Berechtigung um auf dem Gerät nach Konten zu suchen und diese zu verwenden. Trotzdem wurde die App von Sicherheits-Lösungen bekannter Anbieter nicht als schadhaft erkannt.

Die Sicherheitslücke wurde an Google übermittelt und seitdem wurden auch einige Funktionen des Google Kontos deaktiviert, wie zum Beispiel der Export der Daten über Google Takeout über den Weblogin; das eigentliche Problem besteht aber weiterhin. Eine Stellungnahme zu dem Thema seitens Google gibt es bisher nicht, daher bleibt uns derzeit nichts anderes übrig, als zu hoffen, dass bereits fleißig an der Schließung der Lücke gearbeitet wird.

Quelle: PCWorld

Zu den Kommentaren

Kommentare zu dieser News

* Werbung