Sicherheitslücke Google Drive

Eine Sicherheitslücke im Windows-Client von Googles Online-Speicherdienst Drive verschafft neugierigen Mitmenschen Zugang zum Google-Account des Drive-Nutzers. Private Mails, Kontakte und Termine sind unter Umständen gefährdet.

Laut heise.de wird man nach einem Klick auf „Google Drive Online besuchen“ ohne Passwortabfrage in den Google-Account des Nutzers eingeloggt. Mittels dieser Verknüpfung öffnet sich die Web-Oberfläche des Speicherdienstes, der Nutzer wird dabei automatisch eingeloggt. Über diese Sitzung lassen sich nun auch andere Google-Dienste wie Gmail öffnen. Nutzlos ist es auch, explizit auf der Google-Website den Abmelde-Button zu drücken. Der Drive-Client öffnet ohne Passwortabfrage eine neue Sitzung. Die Zugangsdaten müssen nur einmalig bei der Einrichtung der Client-Software eingegeben werden.

Problematisch ist diese Sicherheitslücke vor allem, wenn man seinen Benutzeraccount mit anderen Personen teilt oder der Rechner nicht mit einem Passwort geschützt ist. Auch der Kontozugriff durch Trojaner wird laut heise.de durch den Link unnötig erleichtert. Mit einer Zwei-Faktor-Authentifizierung, bei der man beim Einloggen zusätzlich eine einmalig gültige TAN eingeben muss, wollte Google seine Webdienste sicherer machen. Diese Maßnahme wird aber durch den Zugriff über den Client ausgehebelt. Der Client gibt sich damit zufrieden, dass die TAN bei seiner Einrichtung eingegeben wurde. Wer den Client benutzt, sollte also bis auf Weiteres dafür Sorge tragen, dass niemand anderes auf den Benutzeraccount zugreifen kann.