Gestern hatten wir über die neue Erweiterung von Google berichtet. Password Checkup überprüft deine Login Dateien automatisch wenn du dich irgendwo einloggst, ob diese kompromittiert sind. Google selber hat beschrieben, dass die Daten verschlüsselt übermittelt werden. Doch ganz so ist es nicht.
Mike Kuketz hat sich die Erweiterung einmal vorgenommen und nachgeprüft was wirklich übermittelt wird. Die wichtigsten Daten wie Benutzername und auch das Passwort werden gehasht und verschlüsselt. Diese Daten werden dann in kodierter Form in der Datenbank überprüft. Soweit so gut. Was aber nicht verschlüsselt wird ist die Domain der Webseite auf der man sich eingeloggt hat.
Dies sieht dann so aus, wie Mike es vorgefunden hat:
:method: POST :authority: us-central1-password-api-prod.cloudfunctions.net :scheme: https :path: /logEvents content-length: 94 origin: null user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.67 Safari/537.36 content-type: application/json accept: */* accept-encoding: gzip, deflate, br accept-language: en-US,en;q=0.9,und;q=0.8 [[[null,"login.web.de",true,[31848.799999999814,637.9999999990687,36732.100000001024]]],[],[]]
Man fragt sich nun, was Google mit der Domain der Webseite anfängt. Denn diese wird nicht anonym übermittelt. Google selber hat es ja so beschrieben: „Password Checkup was built with privacy in mind. It never reports any identifying information about your accounts, passwords, or device. We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.“
Wichtig ist zwar das der Benutzername und auch das Passwort sicher verschlüsselt sind. Trotzdem hätte Google selber es schon vorab in der Beschreibung offen schreiben können. Denn das was Mike herausgefunden hat macht es dem Nutzer nicht gerade einfach dieser Erweiterung zu vertrauen.
Danke an jacz für den Hinweis
Ich finde es etwas reisserisch, was Mike da in seinem Blog bzgl. dieses Themas schreibt.
Google schreibt doch in deren Mitteilung, dass username usw. verschlüsselt übertragen werden, was ja auch bewiesen ist. Die anderen Punkte und auch die Website kann man doch auch korrekt als anonyme metadaten ansehen, also auch kein Widerspruch.
Ich finde es auch durchaus nützlich, dass Google diese Daten erhebt. Wenn nämlich bei diesem Check bspw. Yahoo mehrmals durch dieses Tool als Quelle heraussticht, kann man damit ggf. daraus schließen, dass die Seite kompromittiert wurde und dadurch kann man Maßnahmen und Warnungen an alle Yahoo Nutzer abschicken. Auf diese Weise können solche hacks wie bei Yahoo nicht jahrelang geheimgehalten und vertuscht werden, wie es in der Vergangenheit geschehen ist.
Wenn Google also auch die Domain verschlüsseln und mit den Zugangsdaten in den Safe packen würde, könnte Google genau diese hilfreiche Information nicht entschlüsseln. Denn wenn sie das könnten, hätten sie auch automatisch mein passwort und alles entschlüsselt.
Ich finde es daher erklärbar und sogar sehr sinnvoll die Domain zu erfassen und auszuwerten. Das geschieht ja offenbar unabhängig von den Zugangsdaten (daher auch anonym).
„We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.“
Häh? Da schreibt Google doch in ihrem Blogpost ganz klar, dass anonymisierte Daten wie Anzahl der negativen Ergebnisse UND die Domain übertragen werden? Sie sind aber dem Benutzer- und PW-Hash nicht zuordenbar.
Sorry, aber die Entdeckung von Mike ist Mist und nichts, was Google nicht offen geschrieben hat. Keine Meldung wert – vor allem mit so einem reisserischen Titel… ^_^
… und warum verschweigt Google uns das? Ist das Transparenz und steigert dies die Vertrauenswürdigkeit von Google? Es geht weiter mit den Halbwahrheiten, mit dem Verschweigen und dem vertuschen! Wir User sind jedenfalls immer die Leid tragenden.
Fuchs
Siehe oben, Google verschweigt es nicht. Vielmehr hat der Urheber wohl Googles Text nicht verstanden.
Mike schreibt leider öfters mal blödsinn und unrecherchierte dinge, das ist leider bei ihm normal. Ein Posts request an sich ist nichts schlimmes und hat hier mit der Names/Passwortverschlüsselung nichts zu tun. Zum Beispiel müssen die web forms nicht verschlüsselt sein, so lange der content verschlüsselt ist um eben die Serverlast zu verringern. Wie infinity auch schon schrieb gibt es gewisse checks die als meta-daen bezeichnet werden können um gewisse Sachen zu überprüfen.
Hier kann man auch nachlesen worüber ich rede:
https://en.wikipedia.org/wiki/POST_(HTTP)
„Affecting server state“
„…when it should change the server state each time it is performed, for example submitting a comment to a blog post or voting in an online poll.“ Das ist jetzt nicht’s schlimmes. Firefox und auch Chrome haben übrigends beide die möglichkeit via flags den header hier zu reduzieren (für bestimmte Protokolle).
Das hat nichts mit vertrauen zu tun, du kannst ganz einfach nicht immer alles erklären da es den normalen Benutzer nur verwirrt und verunsichert, was leider hier passiert ist.
Mike hat doch nur das wiedergegeben was Google selbst sagt, im Kleingedruckten. Finde ich prima, dass er darauf aufmerksam macht.
CHEF-KOCH? Traust du dich mit dem Nickname echt noch ins Netz? Nach diesen ganzen Copy&Paste Skandalen hätte ich das nicht vermutet.
1. https://github.com/ghacksuserjs/ghacks-user.js/issues/323
2. https://github.com/Lanchon/REPIT/blob/master/README-CHEF-KOCH.md
Auweia…
das ist doch ganz klar. Wenn Google eins benötigt, dann URLs. Das ist deren Grundbasis für deren interne KI-Verknüpfungen, ein umfangreicher Geräteübergreifender Datenverlauf. Das ist ja alles schön unter https://myactivity.google.com/ aufgelistet…