A suspicious app was blocked from accessing your account

gis

Bekanntes Mitglied
Hi,
in meiner Gmail Inbox habe ich folgende Warnung gefunden:

Anmeldeversuch wurde verhindert
xxx_name_xxx@gmail.com
Jemand hat gerade versucht, sich mit Ihrem Passwort in einer nicht von Google stammenden App in Ihrem Konto anzumelden. Google hat diese Person blockiert, aber Sie sollten das dennoch überprüfen. Sehen Sie in Ihren Kontoaktivitäten nach und achten Sie darauf, dass keine andere Person Zugriff hat.
Button: <Aktivität prüfen>



Wenn ich den Button: <Aktivität prüfen> klicke, erhalten ich folgende Informationen:
A suspicious app was blocked from accessing your account: xxx_name_xxx@gmail.com
Google prevented someone from signing in to your account using a non-Google app. If this wasn’t you, they know your password and you should change it immediately.


Als Prüfinformation erhalte ich noch folgende Angaben:
Unknown device
Germany
Were you recently prevented from signing in to your Google Account?
<No, secure account> <Yes, it was me>



So, nun stehe ich da und weiß nicht recht weiter.
Gibt es eine Möglichkeit weitere Informationen zu diesem Anmeldeversuch zu erhalten?
z.B. zu der Art des Device, der Region, am aller liebsten aber zur IP?

Was sind sinnvolle nächste Schritte um mehr über den Anmeldeversuch zu erfahren?
 

silverrider

The One and Only
Hatte ich auch mal, weil Google pissed war, dass ich mit K9 die Frechheit besessen hatte, Gmail abrufen zu wollen und nicht mit Ihrer dämlichen App.
Hast du irgendwas, was auf deinen Google-Account zugreift, aber nicht eine Google-Anwendung ist, also wie bei mir Email-Client, oder Youtube-Forks oder sonstiges?
 

gis

Bekanntes Mitglied
Ja, ich habe eine ganze Reihe von Zeugs, ich muss mal überprüfen was davon tatsächlich notwendigerweise Zugriff benötigt, z.B. iPhone-Apps, iPad-Apps, Raspberry - aber auch unnötigerweise gSync als Outlook AddOn.
Ich vermute mal ganz stark dass der Zugriff von einer solchen App initiiert wurde, um dies beurteilen zu können benötige ich aber weitergehende Informationen.
Die Warnung ist jetzt schon ein paar Tage her und hat sich seither nicht wiederholt.
 

chaospir8

★★★★★-Oldie
Hier vor ca. zwei, drei Wochen auch passiert, als ich mit Rainlendar (oder ähnlichem) und dem Zugriff auf meinen Google-Kalender rumspielte.
 
Zuletzt bearbeitet:

silverrider

The One and Only
Es dürfte eine der Apps sehr wahrscheinlich nicht mehr gehen! Log mal im Dashboard von Google ein, dann findest du in dem Wust der Untiefen auch die gesperrte Anwendung.
Am Ende musst du ja den Zugriff expliziet dort erlauben, sonst wird das nichts mehr mit der App, die das ausgelöst hat! Irgendeine Freigabe im Sinne von, ich lasse auch Zugriff von
"Fremdapps" auf mein Google-Konto zu.
Wie gesagt, ich hatte den PingPong recht lange.
 

GiveThatLink

Bekanntes Mitglied
"unknown device" ist schon mal merkwürdig, normalerweise steht dort der recht genaue Name des Gerätes. Ich weiss nicht, wie sich gerootete Geräte melden, aber ohne und nix deutet auf einen Abgriff hin. IP dürftest du nicht bekommen.
Ähnliche Meldungen habe ich erhalten mit meinem neuen Smartphone und da stand dann Klartext "Samsung Galaxy..."
 

gis

Bekanntes Mitglied
Es ist absolut irre bis erschreckend was sich alles in den Untiefen des Google Accounts verbirgt, aber das ist ein ganz anderes Thema.

Bin im Google Account über <Security> nach <Third-party apps with account access> gegangen, aber dort finde ich nur drei denen ich tatsächlich den Zugriff erlauben möchte: gSyncit, MS Apps&Services und meine Synology DSM. Alle drei funktionieren aber einen Menüpunkt für gesperrte Apps finde ich nicht.

Unter <Recent Security Activity> findet sich die Warunung: “Action needed”.

Diese Warnung führt mich aber wieder nur zur Eingangs beschriebenen Fehlermeldung: „A suspicious app was blocked from accessing your account: Google prevented someone from signing in to your account using a non-Google app. If this wasn’t you, they know your password and you should change it immediately“ eines „unknown device“ aus Germany.

Hier habe ich wieder nur die beiden Knöpfe: [No, secure account] und [Yes, it was me].

Wie soll ich wissen ob ich es war, wenn mir wesentliche Informationen dies zu entscheiden fehlen?



Wenn ich im Internet nach vergleichbaren Alerts suche, finde ich überwiegend Fälle bei denen die suspicious IP mitgeliefert wird. Bei mir eben nicht. Warum?
 

Anhänge

  • 01-05-_2021_18-40-11.png
    01-05-_2021_18-40-11.png
    313,7 KB · Aufrufe: 12
Zuletzt bearbeitet:

silverrider

The One and Only
hmmm, ja schon interessanter :icon_easter1: Habe auch die Anmerkung von @GiveThatLink überlesen, dass da weder IP noch Device gemeldet wurde, hatte ich auch noch nicht!
Ein "Angriff" geht aus meiner Sicht aber nicht ohne IP, ein unknow device würde ich ja noch verstehen...hmmm alle s andere wäre jetzt Spekulation, wie Google möchte die IP nicht mitteilen etc.
Wie wäre es einfach Google mal selbst zu fragen, was du mit diesem Fragment anfangen sollst? Immerhin möchten sie ja von dir eine Entscheidung, die du auf Basis dieser Datengrundlage nicht wirklich treffen kannst!

@gis Bitte auch noch mal auf die Anmerkung von @GiveThatLink eingehen, nutzt du alternative Roms, gerootete Handys, evtl Apps ausserhalb der gängigen Wege etc?
 

gis

Bekanntes Mitglied
Ja, ich habe mir die Anmerkungen von @GiveThatLink zu Gemüte geführt, komme damit aber auch nicht wirklich weiter. Gerootete Geräte oder ähnliche Devices habe ich ebenfalls nicht.
Interessant ist noch dass ich alle Geräte unter "Your devices" eindeutig mir zuordnen kann. Ebenso die "Third party apps with access" die ebenfalls noch eindeutig funktionieren.

Gedankengang: Wenn eine „A suspicious app" blockiert wurde, müßte diese doch über ein "freigegebenes" Gerät Zugriff erhalten haben??????
Mich stört dann allerdings die fehlende IP-, oder Geräte-Angabe, die Google frei-Haus hätte liefern können.
Was übersehe ich?

P.S. hinter "manage third party access" befinden sich keine geblockten Apps.
 

Anhänge

  • 01-05-_2021_19-13-49.png
    01-05-_2021_19-13-49.png
    245 KB · Aufrufe: 12

GiveThatLink

Bekanntes Mitglied
Ebenso die "Third party apps with access" die ebenfalls noch eindeutig funktionieren.
Genau da muss drin stehen, welche App Zugriff auf die Google-Funktionen haben darf, hier ist es der "Samsung Account" (eingeschränkt) und TypeApp (Kalender, Kontakte, Gmail). Darunter steht noch "Zugriff durch weniger sichere Apps" und das ist AUS. (AN nicht empfohlen). Darüber stehen die (auf diesen Google Konto) angemeldeten Geräte, sind aktuell 2.

Jetzt mal saublöd gedacht, da hat wirklich ein Angriff auf dein Gmail-Konto stattgefunden und das solltest du ernst nehmen, und dein Passwort ändern.

Was kannst du noch machen? Eigentlich nicht viel. Du könntest dir ein Antivirus installieren und dein Smartphone absuchen. Bislang nutzte ich immer Sophos, auf diesem hier nicht (vorläufig), aber ich hatte auch ESET, Kaspersky neulich ausprobiert. Kaspersky hat nur einen On-Demand-Scanner als Free, mehr braucht es nicht. Sophos mit Hintergrundwächter kostet nichts, ist ok. Und dann solltest du das mal beobachten, und ggf. deine Google-Einstellungen verschärfen.

Ach ja, WLAN nur zu Hause oder in sicheren Netzen bei (guten) Freunden, ansonsten nur Mobil, da wird zu viel Schmu veranstaltet, weil lohnenswert.
 

gis

Bekanntes Mitglied
....., schon richtig, aber bedingt ein erfolgreicher Angriff auf meinen Account nicht ebenfalls einen Eintrag in der Rubrik: [Your devices]?
Nach meinem Verständnis können ausschließlich Geräte der Kategorie [Your devices] sich in meinen Account einloggen?????
Wenn dem so sein sollte, muss ich mich auf die Suche nach einer nicht autorisierten "Third party apps" auf meinen freigegebenen [Your devices] begeben, um zu verhindern dass nach Passwortänderung nicht sofort wieder ein Alarm hoch kommt?
Sehe ich das richtig?
 

GiveThatLink

Bekanntes Mitglied
Du hast doch oben zitiert: "Jemand hat gerade versucht, sich mit Ihrem Passwort".

Problem dabei ist, dass es überhaupt erst passieren konnte und das liegt nicht am Gerät oder den Apps, sondern am Passwort. Jemand hat sich deines Passwortes bedient, ist aber an den weiteren Sicherheitseinstellungen gescheitert.
 

chaospir8

★★★★★-Oldie
Dieser "jemand" war der Threadersteller höchstwahrscheinlichen selber. Auch bei mir war die Warnung ohne IP und angeblich von einem unbekannten Client, obwohl eine von mir installierte Kalender-Anwendung auf meinem seit vier Jahren genutzten Hauptrechner die Ursache war. Also keine Panik. Ich vermute im obigen Fall einen missglückten gSyncIt-Verbindungsaufbau als Ursache.

-- Nachtrag --
Ich habe jetzt noch die Mail gesucht, aber dadurch, dass es bei mir Ende März war, ist diese aus dem Papierkorb inzwischen gänzlich gelöscht.
 
Zuletzt bearbeitet:

GiveThatLink

Bekanntes Mitglied
Google schickt solche Meldung direkt raus, Benutzer bekommt sie also innerhalb weniger Minuten zugestellt. Wenn Benutzer seine Postfächer nur selten abholt oder unregelmässig oder zu spät, dann kann man auch nicht mehr nachvollziehen, was zum Zeitpunkt bei einem selbst los war. gis könnte jetzt nur noch das Datum der Mail als Kriterium heranziehen, alles andere liegt an seinem Gedächtnisprotokoll. Und wenn man das wie jetzt nicht zusammenbekommt, muss eine Passwortänderung her.
Und nochmal der Hinweis - es gibt bei Google keine unbekannten Geräte im Normalfall. Und auch auf dem eigenen Gerät wird nachgefragt, ob eine App auf Google-Dienste zugreifen darf.

Da du gSyncit ansprichst:

SYNC MICROSOFT OUTLOOK WITH YOUR MOBILE/TABLE DEVICE​

Vom PC aus wäre das so ein unerlaubter Zugriff. Wie du habe ich leider keine Mails mehr dazu, das ist in dem Moment abgefrühstückt, wo die App eingerichtet worden ist. Unbekannte Zugriffe vom PC aus auf mein Google-Konto werden auch gemeldet, dieser Rechner hier ist "bekannt".
Geräte, auf denen Sie angemeldet sind
Sie sind derzeit auf diesen Geräten in Ihrem Google-Konto angemeldet.


Windows
***
Deutschland
Dieses Gerät
Was gis wohl noch machen kann ist das hier:
Über das Smartphone anmelden
Erhalten Sie anstatt Ihr Passwort bei jeder Anmeldung einzugeben eine Aufforderung von Google auf Ihr Smartphone. Sie können Ihr Passwort weiterhin verwenden, falls Sie Ihr Smartphone nicht zur Hand haben.
2WA im weitesten Sinne. Oder konkret
Konto mit der Bestätigung in zwei Schritten schützen
Auch wenn eine andere Person Ihr Passwort hat, reicht dies nicht aus, um sich in Ihrem Konto anzumelden.

Mehr gibt es von meiner Seite aus nicht zu sagen, eine Empfehlung gab es schon.
 
Zuletzt bearbeitet:

dr_tommi

alter Oldie
Ich habe diese Mail auch bekommen weil ich versucht habe mit einem bisher unbenutzten Mailclient die Mails per IMAP abzurufen. Kennung, Passwort und auch der Rechner waren wie immer.
Als Lösungsvorschlag kam dann dass man in den Einstellungen den "Zugriff mit weniger sicheren Apps" zulassen sollte.
Aber will man das wirklich? ;)
 

gis

Bekanntes Mitglied
Ich tippe mittlerweile ebenfalls auf einen wie auch immer fehlgeschlagenen gSync Verbindungsaufbau, daher habe ich das Tool deinstalliert, ihm alle Rechte bei Google entzogen, sowie mein Passwort geändert.
Ein Virenscan hat nichts gefunden, und ich bin mir am überlegen mein Sophos UTM wieder zu aktivieren - es steht jetzt bald über ein Jahr ausgeschaltet herum.
Für Raspberry Google API-Abfragen verwende ich seit jeher einen separaten Google Account welcher "Zugriff mit weniger sicheren Apps" ermöglicht.
 
Oben Unten