Googles One-Click-Authentifizierung ein Sicherheitsrisiko?

Wir nutzen jeden Tag aufs Neue etliche Dienste im Web, von denen eine Handvoll verschiedene Dienste von Google sein dürften. Egal ob Gmail, Google+, YouTube oder der Google Kalender, überall melden wir uns mit unserem Google-Account einmal ein und können die volle Google-Power auf einen Schlag nutzen. Aber ist dieser Single-Sign-On wirklich so sicher, wie wir glauben?

Google bietet eine Unmenge an Diensten an, von denen manche wirklich nützlich, manche überflüssig und manche einfach nur geil sind. Und viele davon können sehr bequem über ein und denselben Login-Mechanismus erreichbar: Es reicht, wenn wir uns auf einer Google-Seite anmelden und schon stehen uns alle Google-Dienste in vollem Umfang zur Verfügung mittels der One-Click-Authentifizierung. Insbesondere vom mobilen Gerät wie dem ständigen Begleiter Smartphone aus ist das praktisch, wenn wir uns nur einmal anmelden müssen. Laut dem Sicherheitsforscher Craig Young von Tripwire ist genau das eine sehr trügerische Sicherheit, wie er jüngst in seinem Vortrag auf der DefQon Sicherheitskonferenz in Las Vegas demonstrierte.

Bequemlichkeit versus Sicherheit

Android ist für Webdienste mit einer sogenannten weblogin-Funktion ausgestattet, welches ein einzigartiges Token für die aktuelle Session erzeugt, womit man sich als Nutzer automatisch in sämtliche Google-Dienste nur einmal mit seinem Google-Account per One-Click-Authentifizierung anmelden muss. Nicht nur für uns Google-Nutzer ist das sehr komfortabel, auch Personen mit weniger guten Hintergedanken können sich an dieser Funktion erfreuen. Wie gefährlich diese Funktion sein kann, insbesondere für geschäftlich genutzte Geräte, demonstrierte Young anhand einer entsprechend in den Play Store hochgeladenen App für Google Finance.

Einmal die App installiert, fragt sie wie eine ganz normale App nach der Berechtigung, sich über den in Android hinterlegten Google-Account per One-Click-Authentifizierung bei der App anzumelden. So weit nichts ungewöhnliches. Hat der Nutzer dem Login zugestimmt, wird das bereits angesprochene Token erzeugt, kann mit der präparierten App an den Entwickler geschickt werden und nun hat dieser ebenfalls Zugriff auf das Token und kann beispielsweise mit Hilfe des Tokens an die Daten und den Google-Account des Nutzers gelangen, selbst auf Seiten mit dem Google Federal Login-System (Google-Account als Login-Methode anstatt individueller Login-Name nebst Passwort) hat der potentielle Angreifer nun Zugriff.

Einen Monat lang unentdeckt

Was der Sache zusätzliches Gefahrenpotential verschafft ist die Tatsache, dass Googles Sicherheitsmechanismus für den Play Store, der Bouncer, die von Young hochgeladene App über einen Monat lang nicht erkannt und mit einer Malware-Kennzeichnung versehen hat. Selbst die explizite Erwähnung in der App-Beschreibung wurde von Googles Bouncer ignoriert und das gibt schon ein wenig zu denken. Zudem ist nur ein Bruchteil aller im Play Store verfügbaren Anti-Malware-Apps überhaupt in der Lage, die von Young hochgeladene und präparierte App als Malware zu erkennen. Erst nach der Meldung eines Nutzers wurde die App aus dem Play Store entfernt.

Allerdings scheint die Sache doch nicht ganz so schlimm zu sein, wie eingangs befürchtet, denn mit wenigen Schritten kann die Sicherheit ein gutes Stück verbessert werden. Einer dieser Schritte wäre die Verbesserung und Optimierung des Google Bouncer oder die Implementierung einer besseren Sicherheitsanwendung.

[Quelle: PCWorld | via AndroidCommunity]