Abo
  • Services:
Anzeige
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Datenverkehr analysiert

Die Sicherheitsexperten haben dazu einen Proxyserver mit einem eigenen Zertifikat eingerichtet und zunächst den Datenverkehr zwischen einem Android-Emulator und den Google-Servern abgegriffen und analysiert. Bei der abgefangenen Anfrage an den Server wird ein mit einem 1.024-Bit-RSA-Key verschlüsseltes Passwort übertragen. Zurück kam ein zeitlich begrenztes Token.

Die Experten ersetzten das verschlüsselte Passwort durch ein anwendungsspezifisches Passwort im Klartext und zusätzlich den Parameter EncyrptedPassword durch Password. Die beiden Parameter sind säuberlich in der Dokumentation des Clientlogin-APIs vermerkt. Auch hier kam vom Server android.clients.google.com ein funktionierendes Token zurück.

Anzeige

Der Datenverkehr zwischen Client und Server ging aber weiter. Aus der nächsten Login-Anforderung und der Antwort des Servers konnten Goodman und sein Team die sogenannte Merge-Session-URL auslesen, die allerdings nur für kurze Zeit gültig ist. Als diese URL in einem nicht authentifizierten Browser eingegeben wurde, öffnete sich die Webseite mit den Einstellungen des Google-Accounts sofort und ohne Passworteingabe.

Einfach gehackt

Ein Angreifer benötigte demnach lediglich einen Benutzernamen und ein einziges anwendungsspezifisches Passwort und eine einfach zu manipulierende URL, um sich eines Google-Kontos von einem beliebigen Gerät aus zu bemächtigen - unter Umgehung der zweifachen Authentifizierung, resümiert Goodman.

Fehler behoben

Seim Team habe Google seine Ergebnisse zugespielt und der Suchmaschinenkonzern habe schnell reagiert, schreibt Goodman. Seit dem 21. Februar 2013 werde der Zugang zu den Kontoeinstellungen und zu der Webseite, auf denen weitere anwendungsspezifische Passwörter für ein Konto erstellt werden können, stärker abgesichert. Anwender müssen ihren Benutzernamen und Passwort eingeben, um auf die Seite zu gelangen, auch wenn der Browser eine Merge-Session-URL an die Google-Server übergibt. Außerdem gibt es jetzt eine Warnung, wenn ein Anwender ein anwendungsspezifisches Passwort abholt: "Mit diesem Passwort erhalten Sie uneingeschränkten Zugriff auf Ihr Google-Konto."

 Google: Passwörter konnten leicht missbraucht werden

eye home zur Startseite



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Bonn, Darmstadt
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. über TOPOS Personalberatung GmbH, Norddeutschland
  4. T-Systems International GmbH, Berlin, Bonn


Anzeige
Hardware-Angebote
  1. ab 189,00€ im PCGH-Preisvergleich
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  3. bei Caseking

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Samsung zum Galaxy Note 7

    Schuld waren die Akkus

  2. Automute

    Stummschalten beim Ausstöpseln der Kopfhörer

  3. Neue Hardwaregeneration

    Tesla-Autopilot 2.0 nur bis 72 km/h aktiv

  4. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  5. Instant Tethering

    Googles automatischer WLAN-Hotspot

  6. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  7. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  8. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  9. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  10. Funkchips

    Apple klagt gegen Qualcomm



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

  1. Re: Was für ein Fusch

    bofhl | 09:29

  2. Re: Warum berichten alle über diese kleine App?

    My1 | 09:27

  3. Re: Die xBox ist fünstiger und schöner

    Svenismus | 09:27

  4. Re: Genau! Schuld sind die anderen!

    bofhl | 09:27

  5. Re: Manipulative Bildauswahl

    DeathMD | 09:25


  1. 08:36

  2. 07:26

  3. 07:14

  4. 11:29

  5. 10:37

  6. 10:04

  7. 16:49

  8. 14:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel