De optie om bij applicaties via Google in te loggen is een risico voor iOS-gebruikers, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Om te voorkomen dat gebruikers overal een nieuw account moeten aanmaken zijn er tal van app-ontwikkelaars die gebruikers aan de hand van hun Facebook- of Google-account authenticeren.

OAuth, zoals deze vorm van inloggen wordt genoemd, maakt het mogelijk voor gebruikers om zich bij een systeem te authenticeren zonder dat ze hun inloggegevens met een derde partij hoeven te delen. In het geval van inloggen bij Google is dit voor Android-applicaties prima, maar in het geval van iOS-apps worden gebruikers gedwongen om onnodige risico's te nemen, zo stelt Will Dormann, onderzoeker van het CERT/CC.

Bij Android-gebruikers is het Google-account namelijk aan het apparaat gekoppeld en zijn gebruikers zodoende al ingelogd. Met iOS-apparaten is deze koppeling er niet. Gebruikers moeten daardoor hun Google-gebruikersnaam en -wachtwoord op het inlogscherm van de applicatie invoeren. Dit inlogproces schendt volgens Dormann één van de belangrijkste onderdelen van OAuth, namelijk het niet opgeven van inloggegevens aan een derde partij.

IOS-applicaties die van 'Inloggen bij Google' gebruikmaken blijken de inloggegevens niet zelf te ontvangen, aangezien het getoonde inlogvenster van de Google-website is. "Maar hoe weet je dit zeker?", stelt Dormann de vraag. Gebruikers kunnen namelijk niet controleren door wat het inlogvenster wordt getoond. "Het enige dat ik weet is dat ik een applicatie heb gestart die ik wel of niet vertrouw en nu om mijn Google-inloggegevens vraagt." Volgens Dormann is dit vergelijk met het spoofen van websites op computers, maar is het met mobiele apparaten vanwege de beperkte schermruimte en informatie de gebruiker krijgt veel erger.

Dormann is wel te spreken over de manier om zich bij andere applicaties via Facebook te authenticeren, aangezien het vrij duidelijk is dat het om de Facebook-applicatie gaat waar moet worden ingelogd en dit ook eenvoudig te achterhalen is. Het grote verschil met applicaties die van Inloggen bij Google gebruikmaken is dat bij het Inloggen bij Facebook de Facebook-app wordt gestart. Is die niet geïnstalleerd dan wordt de Facebook-website via Safari geladen. Als de gebruiker al op Safari bij Facebook is ingelogd, zal hem dan ook niet om zijn inloggegevens voor Facebook worden gevraagd.

"Wanneer goed geïmplementeerd kan OAuth helpen om inloggegevens van accounts te beschermen. Inloggen bij Google op iOS weet dit doel niet te bereiken. Door het conditioneren van gebruikers om hun Google-inloggegevens zomaar in te voeren, heeft Google een omgeving gecreëerd waar gebruikers juist eerder de kans lopen dat hun account wordt gehackt." Dormann adviseert gebruikers dan ook om zich goed bewust van de risico's te zijn. Daarnaast moeten app-ontwikkelaars Safari voor het Google-inlogproces gebruiken en moet Google de bestaande iOS-app aanpassen zodat die het inloggen afhandelt, net zoals de Facebook-app nu al doet.