Android ist ein-Klick Google Auth ist ein Buffet für Hacker

Hast du eine Android-Gerät, haben Sie wahrscheinlich Googles praktisch ein-Klick-Authentifizierung Verknüpfung, dieses handliche kleine Taste verwendet, die Sie unterzeichnen in verschiedenen Google-Service-Standorten, ohne Ihr Passwort eingeben können. Es ist super bequem! Für Sie und für Hacker.

Craig Young, ein Forscher an der Sicherheitsfirma Tripwire, haben einige graben in wie das System wirklich funktioniert, und einige beängstigend Details in einer Präsentation auf der Def Con letzte Woche aufgetaucht. Das zugrunde liegende System – genannt "Weblogin" — Werke durch ein spezielles Token erstellen, die zur Identifizierung Ihrer Person auf verschiedene Google-Dienste. Aber es leicht gestohlen werden kann, und wenn es ist, es, für fast alles funktionieren wird.

Junge erstellt eine Proof-of-Concept-app, die vorgab zu sein für die Anzeige von Aktien, während in Wirklichkeit würde es Google Finance Login Token des Benutzers stehlen und testen Sie es gegen andere Google-Dienste wie Google Apps, Google Mail, Laufwerk, Kalender, Stimme. Und wenn Jugendliche die app im Play Store – eindeutig in der Beschreibung als gefährlich gekennzeichnet – es dauerte Monate, entweder ungescannt (schlecht) oder gescannt und OKed (schlimmer!) von Googles Anti-Malware System: Türsteher.

Die Sicherheitslücke wurde berichtet, dass Google zurück im Februar, aber seitdem nur Teile des Verstoßes wurden behoben, wie Kontoinformationen per Google Datenexport voller Risse . Gestohlene Token eignen sich immer noch viel für rifling durch jemandes Gmail aber, oder prüfen Sie den Inhalt ihrer Festplatte.

Bis es ist irgendeine Art von Lösung, ist es wahrscheinlich ratsam, ein-Klick-Auth zu vermeiden, Bequemlichkeit verdammt sein. Das bedeutet, dass sagen "Nein", wenn Sie Erlaubnis bekommen, dass Erwähnung Weblogin anfordert. Es ist schade, aber gute Sicherheit in der Regel macht für einige Unannehmlichkeiten, so vorsichtig sein, von der ein-Klick-Option, jetzt und in der Regel. Und nie, nie vergessen, dass auch Play Store apps vielleicht versucht Ihr Mittag zu essen. [PC-Welt]