Google Drive öffnet Hintertür zum Google-Account

[Christoph]

Zitat:

Der Windows-Client von Googles Dropbox-Alternative Drive öffnet eine Hintertür in den Google-Account, durch die sich neugierige Mitmenschen unter Umständen Zugriff auf Mails, Kontakte und Termine des Drive-Nutzers verschaffen können.
Das Synchronisations-Tool enthält eine Verknüpfung namens "Google Drive Online besuchen", der die Web-Ausgabe des Speicherdienstes öffnet und den Nutzer dabei automatisch einloggt. Problematisch hierbei ist, dass man sich über diese Sitzung nun auch zu anderen Google-Diensten wie Gmail weiterhangeln kann.

Selbst wenn sich der Nutzer im Browser explizit über den "Abmelden"-Link von der Google-Website ausgeloggt hat, öffnet der Drive-Client ohne Passwortabfrage eine neue Sitzung. Das Tool erkundigt sich lediglich bei seiner Einrichtung einmalig nach den Zugangsdaten.

Diese Hintertür ist vor allem dann problematisch, wenn man seinen Benutzeraccount mit anderen Personen teilt oder der Rechner nicht mit einem Passwort geschützt ist. Auch der Kontozugriff durch Trojaner wird durch den Link unnötig erleichtert.

Die Zwei-Faktor-Authentifizierung, bei der man beim Einloggen eine einmalig gültige TAN eingeben muss, schützt nicht vor dem Zugriff über den Client. Der Client gibt sich damit zufrieden, dass die TAN bei seiner Einrichtung eingegeben wurde. Wer auf den komfortablen Abgleich durch den Client nicht verzichten möchte, sollte also dafür sorgen, dass niemand anderes auf den Benutzeraccount zugreifen kann.

Update vom 23.10., 15:50: Laut Leserberichten lässt sich das Problem auch unter Mac OS X nachvollziehen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...t-1734695.html