Phishing: Google blockiert Anmeldungen aus eingebetteten Browsern

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
In vielen Apps sind heutzutage Browser eingebettet, um sich mit einem Account eines anderen Dienstes anmelden zu können. Diese Möglichkeit bringt allerdings ein gewisses Risiko mit sich. Bösartige Anwendungen können die Daten des Nutzers ohne Probleme abgreifen und weitergeben. Ein solcher Angriff wird auch "Man-in-the-Middle-Attacke" (kurz: MITM) genannt. Nachdem der Nutzer seine Daten eingegeben hat, ist für diesen nicht ersichtlich, an welchen Server die Informationen tatsächlich gesendet werden. Die Anmelde-Daten können also in Echtzeit ab­ge­fan­gen werden, ohne dass der Nutzer hierüber in Kenntnis gesetzt wird. Aus diesem Grund hatte sich Google bereits im Jahr 2016 dazu entschlossen, Anmeldungen über eingebettete Browser einzuschränken. Jetzt möchte Google derartige Login-Versuche komplett blockieren. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim PhishingDas sind die erfolgreichsten Betreff-Zeilen beim Phishing Vor einiger Zeit wurde den App-Entwicklern die Möglichkeit entzogen, ein eingebettetes Fra­me­work zum Login in einer neuen Anwendung zu verwenden. Aus dem offiziellen Sicherheits-Blog von Google geht hervor, dass sämtliche Anmelde-Versuche von eingebetteten Browsern ab Juli 2019 nicht mehr funktionieren werden. Hiervon ist unter anderem auch das häufig verwendete Chromium Embedded Framework (CEF) betroffen. Im vergangenen Jahr hatte der Suchmaschinenkonzern auch angekündigt, dass die Nutzer JavaScript im Browser aktivieren müssen, um sich weiterhin bei Google-Diensten anzumelden. Mit einem Skript wird eine Risikobewertung durchgeführt, sodass der Anmelde-Vorgang rechtzeitig blockiert werden kann, wenn Google eine Phishing-Attacke vermutet.

Entwickler sollen auf OAuth setzen

Alle Entwickler, die derzeit noch das Chromium Embedded Framework nutzen, sollen auf eine browserbasierte OAuth-Authentifizierung umsteigen. Sofern diese Änderung nicht rechtzeitig vorgenommen wird, können sich die Nutzer ab Juni gar nicht mehr in der betroffenen App anmelden. OAuth wird als deutlich sicherer angesehen, da den Nutzern zu jedem Zeitpunkt die komplette URL der Seite, wo die Anmelde-Daten eingegeben werden, angezeigt wird.

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
2019-04-19T17:29:00+02:00
Mehr zum Thema: Chrome
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 09:35 Uhr CD Player BluetoothCD Player Bluetooth
Original Amazon-Preis
45,99
Im Preisvergleich ab
?
Blitzangebot-Preis
39,09
Ersparnis zu Amazon 15% oder 6,90

Tipp einsenden