Hasła aplikacji osłabiają dwuskładnikowe uwierzytelnianie Google, naukowcy twierdzą, że

Naukowcy z dostawcy dwóch czynników uwierzytelniania Duo Security znalazł lukę w systemie uwierzytelniania Google, która pozwoliła im ominąć dwustopniową weryfikację logowania firmy przez nadużywanie unikalnych haseł używanych do łączenia poszczególnych aplikacji z kontami Google.

Według badaczy Duo Security, Google naprawił lukę 21 lutego, ale incydent uwypuklił fakt, że hasła aplikacji Google nie zapewniają szczegółowości kontrola nad danymi konta.

Po włączeniu, dwuetapowy system weryfikacji Google wymaga wprowadzenia unikatowych kodów w additio n do zwykłego hasła do konta, aby się zalogować. Ma to na celu zapobieganie przejęciu kontroli konta nawet po złamaniu hasła. Unikatowe kody można otrzymać na numer telefonu przypisany do konta lub można go wygenerować za pomocą aplikacji na smartfony.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Jednak tylko weryfikacja dwuetapowa działa podczas logowania za pośrednictwem witryny Google. Aby uwzględnić komputery klienckie poczty e-mail, programy czatu, aplikacje kalendarza i inne, Google wprowadziło koncepcję haseł aplikacji (ASP). Są to losowo generowane hasła, które pozwalają aplikacjom na dostęp do konta bez potrzeby stosowania drugiego współczynnika uwierzytelnienia. ASP można odwołać w dowolnym momencie bez zmiany hasła głównego konta.

Problem polega na tym, że "ASP są w kategoriach egzekwowania - w rzeczywistości nie są one specyficzne dla aplikacji!" badacze Duo Security powiedzieli w poniedziałek w poście na blogu. "Jeśli utworzysz ASP do użycia w (na przykład) kliencie czatu XMPP, ta sama ASP może być również użyta do odczytu twojej poczty e-mail przez IMAP lub zgarniania wydarzeń kalendarza za pomocą CalDAV."

Naukowcy odkryli wadę mechanizm automatycznego logowania zaimplementowany w Chrome w najnowszych wersjach Androida, który pozwolił im korzystać z ASP w celu uzyskania dostępu do odzyskiwania konta Google i dwuetapowych ustawień weryfikacji.

W zasadzie błąd mógł pozwolić osobie atakującej ukradł ASP dla konta Google, aby zmienić numer telefonu komórkowego i pomocniczy adres e-mail powiązany z tym kontem, a nawet całkowicie wyłączyć weryfikację dwuetapową.

"Nie podano nic oprócz nazwy użytkownika, ASP i jednego żądania do //android.clients.google.com/auth możemy zalogować się do dowolnej usługi internetowej Google bez żadnego monitu logowania (lub weryfikacji dwuetapowej)! " badacze Duo Security powiedzieli. "To już nie jest tak, jak w dniu 21 lutego, kiedy inżynierowie Google pchnęli poprawkę, aby zlikwidować tę lukę."

Oprócz usunięcia problemu, Google najwyraźniej zmieniło również komunikat wyświetlany po wygenerowaniu hasła specyficznego dla aplikacji w celu aby ostrzec użytkowników, że "to hasło zapewnia pełny dostęp do Twojego konta Google."

"Uważamy, że jest to dość znacząca dziura w silnym systemie uwierzytelniania, jeśli użytkownik ma jakąś formę" hasła "wystarczającą do przejęcia pełnego kontrola nad swoim kontem "- stwierdzili badacze Duo Security. "Jesteśmy jednak pewni, że - nawet przed wprowadzeniem poprawki - dwuetapowa weryfikacja Google'a była jednoznacznie lepsza, niż by tego nie robić."

Naukowcy chcieliby, aby Google wdrożyło jakiś mechanizm podobne do tokenów OAuth, które pozwalają na ograniczenie uprawnień każdego indywidualnego hasła aplikacji.

Google nie odpowiedział natychmiast na żądanie dotyczące komentarza dotyczącego tej luki lub możliwych planów wdrożenia bardziej szczegółowego sterowania dla haseł aplikacji w przyszłości.