Google: Besserer Schutz vor Phishing – CEF-Anmeldung wird eingestellt

Google will seine Nutzer besser vor Phishing schützen. Das passiert mittlerweile auf unzählige Arten und aus diesem Grunde hat Google bereits 2016 die Login-Möglichkeit über die eingebettete Web-Ansicht in Apps deaktiviert, sodass Entwickler diese nicht mehr nutzen konnten.

Letztes Jahr hatte man auch angekündigt, dass man bei der Anmeldung im Browser JavaScript aktivieren müsse, damit man eine Risikobewertung durchführen könne, wenn Anmeldeinformationen auf einer Anmeldeseite eingegeben werden, und die Anmeldung blockieren könne, wenn man einen Angriff vermute.

Eine Form von Phishing, bekannt als „man in the middle“ (MITM), sei jedoch schwer zu erkennen, wenn ein eingebettetes Browser-Framework (z.B. Chromium Embedded Framework – CEF) oder eine andere Automatisierungsplattform zur Authentifizierung verwendet wird. MITM fängt die Kommunikation zwischen einem Benutzer und Google in Echtzeit ab, um die Anmeldeinformationen des Benutzers (in einigen Fällen auch den zweiten Faktor) zu sammeln und sich anzumelden.

Da man allerdings auf diesen Plattformen nicht zwischen einer legitimen Anmeldung und einem MITM-Angriff unterscheiden könne, werde man ab Juni die Anmeldung an eingebetteten Browser-Frameworks blockieren. Dies entspricht der im April 2016 angekündigten Einschränkung der Webview-Anmeldung. Nutzer werden im besten Falle davon nur wenig mitbekommen, lediglich App-Entwickler müssen ihre Lösungen anpassen, sofern sie auf die Variante setzen, die eingestellt wird. Zukünftig sollen diese auf die browserbasierte OAuth-Authentifizierung setzen.