Google: Besserer Schutz vor Phishing – CEF-Anmeldung wird eingestellt

Google will seine Nutzer besser vor Phishing schützen. Das passiert mittlerweile auf unzählige Arten und aus diesem Grunde hat Google bereits 2016 die Login-Möglichkeit über die eingebettete Web-Ansicht in Apps deaktiviert, sodass Entwickler diese nicht mehr nutzen konnten.

Letztes Jahr hatte man auch angekündigt, dass man bei der Anmeldung im Browser JavaScript aktivieren müsse, damit man eine Risikobewertung durchführen könne, wenn Anmeldeinformationen auf einer Anmeldeseite eingegeben werden, und die Anmeldung blockieren könne, wenn man einen Angriff vermute.

Eine Form von Phishing, bekannt als „man in the middle“ (MITM), sei jedoch schwer zu erkennen, wenn ein eingebettetes Browser-Framework (z.B. Chromium Embedded Framework – CEF) oder eine andere Automatisierungsplattform zur Authentifizierung verwendet wird. MITM fängt die Kommunikation zwischen einem Benutzer und Google in Echtzeit ab, um die Anmeldeinformationen des Benutzers (in einigen Fällen auch den zweiten Faktor) zu sammeln und sich anzumelden.

Da man allerdings auf diesen Plattformen nicht zwischen einer legitimen Anmeldung und einem MITM-Angriff unterscheiden könne, werde man ab Juni die Anmeldung an eingebetteten Browser-Frameworks blockieren. Dies entspricht der im April 2016 angekündigten Einschränkung der Webview-Anmeldung. Nutzer werden im besten Falle davon nur wenig mitbekommen, lediglich App-Entwickler müssen ihre Lösungen anpassen, sofern sie auf die Variante setzen, die eingestellt wird. Zukünftig sollen diese auf die browserbasierte OAuth-Authentifizierung setzen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.