Vor einigen Tagen wurde allgemein bekannt, dass Cyberkriminelle durch undokumentierte API-Aufrufe in der OAuth-Schnittstelle Zugangsdaten und Login-Tokens für Google-Konten stehlen können ("Swiss IT Magazine"
berichtete). Den Trick haben inzwischen mehrere Malware-Entwickler in ihren Schadcode implementiert. Neben dem ursprünglich genannten Token Stealer Lumma sind
laut einem Bericht von "Heise" im Minimum fünf weitere Malware-Varianten entsprechend unterwegs, nämlich Rhadamanthys, Stealc, Medusa, Risepro und Whitesnake.
Für Betroffene reicht es zur Abhilfe übrigens nicht, das Passwort zurückzusetzen – man muss, so
Google, entweder den betroffenen Browser aus dem Account entfernen oder in der Geräteverwaltung des Google-Kontos alle angemeldeten Devices, Google Apps und Drittanbieter-Apps überprüfen und deaktivieren.
Google hat nun in einem Statement auf die Medienberichte reagiert und gegenüber "Heise" abgewiegelt: Angriffe mit Malware, die Cookies und Tokens stehlen, seien nichts Neues. Google verbessere die eigenen Abwehrmechanismen gegen solche Techniken routinemässig. Diese Beschwichtigung kann jedoch nicht darüber hinwegtäuschen, dass von einer Behebung der OAuth-Schwachstelle keineswegs die Rede ist.
(ubi)
