Google: Besserer Schutz vor Phishing – CEF-Anmeldung wird eingestellt

Google will seine Nutzer besser vor Phishing schützen. Das passiert mittlerweile auf unzählige Arten und aus diesem Grunde hat Google bereits 2016 die Login-Möglichkeit über die eingebettete Web-Ansicht in Apps deaktiviert, sodass Entwickler diese nicht mehr nutzen konnten.

Letztes Jahr hatte man auch angekündigt, dass man bei der Anmeldung im Browser JavaScript aktivieren müsse, damit man eine Risikobewertung durchführen könne, wenn Anmeldeinformationen auf einer Anmeldeseite eingegeben werden, und die Anmeldung blockieren könne, wenn man einen Angriff vermute.

Eine Form von Phishing, bekannt als „man in the middle“ (MITM), sei jedoch schwer zu erkennen, wenn ein eingebettetes Browser-Framework (z.B. Chromium Embedded Framework – CEF) oder eine andere Automatisierungsplattform zur Authentifizierung verwendet wird. MITM fängt die Kommunikation zwischen einem Benutzer und Google in Echtzeit ab, um die Anmeldeinformationen des Benutzers (in einigen Fällen auch den zweiten Faktor) zu sammeln und sich anzumelden.

Da man allerdings auf diesen Plattformen nicht zwischen einer legitimen Anmeldung und einem MITM-Angriff unterscheiden könne, werde man ab Juni die Anmeldung an eingebetteten Browser-Frameworks blockieren. Dies entspricht der im April 2016 angekündigten Einschränkung der Webview-Anmeldung. Nutzer werden im besten Falle davon nur wenig mitbekommen, lediglich App-Entwickler müssen ihre Lösungen anpassen, sofern sie auf die Variante setzen, die eingestellt wird. Zukünftig sollen diese auf die browserbasierte OAuth-Authentifizierung setzen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.