Acasă Securitywatch Bug de autentificare Google cu doi factori a permis deturnarea contului

Bug de autentificare Google cu doi factori a permis deturnarea contului

Video: Anti-Hack Securizare Extra Pentru Conturi Prin Verificarea In 2 Pasi (Noiembrie 2024)

Video: Anti-Hack Securizare Extra Pentru Conturi Prin Verificarea In 2 Pasi (Noiembrie 2024)
Anonim

SAN FRANCISCO - Cercetătorii au putut utiliza parolele specifice aplicației pentru a ocoli autentificarea cu doi factori Google și pentru a obține controlul complet asupra contului Gmail al unui utilizator.

Conferința de securitate RSA din 2013 începe cu seriozitate mâine dimineață, dar mulți dintre participanții la conferință se învârteau deja în centrul Moscone din San Francisco pentru a lua discuții la Summit-ul Alianței de Securitate Cloud și la Grupul de încredere al grupurilor de calcul. Alții au susținut conversații cu o gamă largă de subiecte legate de securitate cu alți participanți. Postarea din această dimineață de la Duo Security despre modul în care cercetătorii au găsit o modalitate de a ocoli autentificarea Google în doi factori a fost un subiect comun de discuție în această dimineață.

Google permite utilizatorilor să activeze autentificarea cu doi factori în contul lor Gmail pentru o mai mare securitate și să genereze jetoane de acces speciale pentru aplicațiile care nu acceptă verificarea în doi pași. Cercetătorii de la Duo Security au găsit o modalitate de a abuza de aceste jetoane speciale pentru a evita complet procesul cu doi factori, a scris Adam Goodman, principalul inginer de securitate la Duo Security. Duo Security a anunțat Google despre aceste probleme, iar compania a „implementat unele modificări pentru a diminua cele mai grave dintre amenințări”, a scris Goodman.

"Credem că este o gaură semnificativă într-un sistem puternic de autentificare, dacă un utilizator are încă o formă de" parolă "care este suficientă pentru a prelua controlul complet asupra contului său", a scris Goodman.

Cu toate acestea, el a mai spus că existența unei autentificări în doi factori, chiar și cu acest defect, a fost „fără echivoc mai bună” decât să se bazeze pe o combinație normală de utilizator / parolă.

Problema cu ASP-urile

Autentificarea cu doi factori este o modalitate bună de a securiza conturile de utilizator, deoarece necesită ceva ce știi (parola) și ceva ce ai (un dispozitiv mobil pentru a obține codul special). Utilizatorii care au activat doi conturi în conturile lor Google trebuie să introducă datele de autentificare normale de conectare, apoi parola specială cu o singură utilizare afișată pe dispozitivul lor mobil. Parola specială poate fi generată de o aplicație de pe dispozitivul mobil sau trimisă prin mesaj SMS și este specifică dispozitivului. Acest lucru înseamnă că utilizatorul nu trebuie să vă faceți griji cu privire la generarea unui cod nou de fiecare dată când se conectează, ci de fiecare dată când se conectează de pe un dispozitiv nou. Cu toate acestea, pentru securitate suplimentară, codul de autentificare expiră la fiecare 30 de zile.

Idee și implementare grozavă, dar Google a trebuit să facă „câteva compromisuri”, cum ar fi parolele specifice aplicației, astfel încât utilizatorii să poată folosi în continuare aplicații care nu acceptă verificarea în doi pași, a menționat Goodman. ASP-urile sunt jetoane specializate generate pentru fiecare aplicație (de aici și numele) pe care utilizatorii le introduc în locul combinației parolă / jeton. Utilizatorii pot utiliza ASP-uri pentru clienți de e-mail, cum ar fi Mozilla Thunderbird, clienți de chat cum ar fi Pidgin și aplicații din calendar. De asemenea, versiunile Android mai vechi nu acceptă două etape, astfel încât utilizatorii au trebuit să utilizeze ASP-uri pentru a se conecta la telefoane și tablete mai vechi. De asemenea, utilizatorii ar putea revoca accesul la contul lor Google prin dezactivarea ASP a respectivei aplicații.

Duo Security a descoperit că, de fapt, ASP-urile nu erau specifice aplicației și ar putea face mai mult decât simpla apucare a e-mailului prin protocolul IMAP sau evenimentele din calendar cu CalDev. De fapt, un cod ar putea fi folosit pentru a vă conecta la aproape oricare dintre proprietățile Web ale Google, datorită unei noi funcții de „autentificare automată” introdusă în versiunile recente Android și Chrome OS. Autentificare automată a permis utilizatorilor care și-au conectat dispozitivele mobile sau Chromebookurile la conturile lor Google să acceseze automat toate paginile legate de Google de pe Web fără a vedea vreodată o altă pagină de conectare.

Cu acel ASP, cineva ar putea merge direct la „pagina de recuperare a contului” și să editeze adrese de e-mail și numere de telefon unde sunt trimise mesaje de resetare a parolei.

"Acest lucru a fost suficient pentru a ne da seama că ASP-urile prezintă unele amenințări surprinzător de grave pentru securitate", a spus Goodman.

Duo Security a interceptat un ASP analizând cererile trimise de pe un dispozitiv Android către serverele Google. În timp ce o schemă de phishing pentru interceptarea ASP-urilor ar avea probabil o rată scăzută de succes, Duo Security a speculat că malware-ul ar putea fi proiectat pentru a extrage ASP-urile stocate pe dispozitiv sau pentru a profita de o verificare slabă a certificatelor SSL pentru a intercepta ASP-uri ca parte a unui sistem personal atacul de mijloc.

În timp ce corecțiile Google abordează problemele găsite, „ne-ar plăcea să vedem că Google implementează unele mijloace pentru a restricționa în continuare privilegiile ASP-urilor individuale”, a scris Goodman.

Pentru a vedea toate postările din acoperirea noastră RSA, consultați pagina noastră de rapoarte Show.

Bug de autentificare Google cu doi factori a permis deturnarea contului