Abo
  • Services:
Anzeige
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Datenverkehr analysiert

Die Sicherheitsexperten haben dazu einen Proxyserver mit einem eigenen Zertifikat eingerichtet und zunächst den Datenverkehr zwischen einem Android-Emulator und den Google-Servern abgegriffen und analysiert. Bei der abgefangenen Anfrage an den Server wird ein mit einem 1.024-Bit-RSA-Key verschlüsseltes Passwort übertragen. Zurück kam ein zeitlich begrenztes Token.

Die Experten ersetzten das verschlüsselte Passwort durch ein anwendungsspezifisches Passwort im Klartext und zusätzlich den Parameter EncyrptedPassword durch Password. Die beiden Parameter sind säuberlich in der Dokumentation des Clientlogin-APIs vermerkt. Auch hier kam vom Server android.clients.google.com ein funktionierendes Token zurück.

Anzeige

Der Datenverkehr zwischen Client und Server ging aber weiter. Aus der nächsten Login-Anforderung und der Antwort des Servers konnten Goodman und sein Team die sogenannte Merge-Session-URL auslesen, die allerdings nur für kurze Zeit gültig ist. Als diese URL in einem nicht authentifizierten Browser eingegeben wurde, öffnete sich die Webseite mit den Einstellungen des Google-Accounts sofort und ohne Passworteingabe.

Einfach gehackt

Ein Angreifer benötigte demnach lediglich einen Benutzernamen und ein einziges anwendungsspezifisches Passwort und eine einfach zu manipulierende URL, um sich eines Google-Kontos von einem beliebigen Gerät aus zu bemächtigen - unter Umgehung der zweifachen Authentifizierung, resümiert Goodman.

Fehler behoben

Seim Team habe Google seine Ergebnisse zugespielt und der Suchmaschinenkonzern habe schnell reagiert, schreibt Goodman. Seit dem 21. Februar 2013 werde der Zugang zu den Kontoeinstellungen und zu der Webseite, auf denen weitere anwendungsspezifische Passwörter für ein Konto erstellt werden können, stärker abgesichert. Anwender müssen ihren Benutzernamen und Passwort eingeben, um auf die Seite zu gelangen, auch wenn der Browser eine Merge-Session-URL an die Google-Server übergibt. Außerdem gibt es jetzt eine Warnung, wenn ein Anwender ein anwendungsspezifisches Passwort abholt: "Mit diesem Passwort erhalten Sie uneingeschränkten Zugriff auf Ihr Google-Konto."

 Google: Passwörter konnten leicht missbraucht werden

eye home zur Startseite



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Deutsche Telekom AG, verschiedene Standorte
  3. Verve Consulting GmbH, Hamburg, Köln
  4. W&W Asset Management GmbH, Ludwigsburg


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 19,99€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: bei mir genau umgekehrt ...

    lottikarotti | 21:43

  2. Re: Die Frage wäre ja...

    ssj3rd | 21:39

  3. Das ist eh die Zukunft.

    TC | 21:25

  4. common business

    johnDOE123 | 21:25

  5. Touchtastatur schlechter nach dem Upgrade.

    TC | 21:20


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel