Дом Securitywatch Ошибка двухфакторной аутентификации Google позволила захватить аккаунт

Ошибка двухфакторной аутентификации Google позволила захватить аккаунт

Видео: "Ил-2 Штурмовик" нового поколения - "Битва за Сталинград" и "Битва за Москву" #13 (Ноябрь 2024)

Видео: "Ил-2 Штурмовик" нового поколения - "Битва за Сталинград" и "Битва за Москву" #13 (Ноябрь 2024)
Anonim

САН-ФРАНЦИСКО. Исследователи смогли использовать пароли для конкретных приложений, чтобы обойти двухфакторную аутентификацию Google и получить полный контроль над учетной записью Gmail пользователя.

Конференция RSA Security 2013 начнется всерьез завтра утром, но многие из участников конференции уже собрались в центре Moscone в Сан-Франциско, чтобы принять участие в переговорах на саммите Cloud Security Alliance и в группе Trusted Computing Group. Другие завязали беседы на широкий спектр вопросов, связанных с безопасностью, с другими участниками. Утреннее сообщение от Duo Security о том, как исследователи нашли способ обойти двухфакторную аутентификацию Google, было обычной темой для обсуждения сегодня утром.

Google позволяет пользователям включить двухфакторную аутентификацию в своей учетной записи Gmail для повышения безопасности и создания специальных токенов доступа для приложений, которые не поддерживают двухэтапную проверку. Исследователи из Duo Security нашли способ использовать эти специальные токены, чтобы полностью обойти двухфакторный процесс, пишет Адам Гудман, главный инженер по безопасности в Duo Security. Duo Security уведомил Google о проблемах, и компания «внесла некоторые изменения, чтобы смягчить наиболее серьезные угрозы», - пишет Гудман.

«Мы считаем, что это довольно существенная дыра в строгой системе аутентификации, если у пользователя все еще есть какая-то форма« пароля », достаточная для полного контроля над его учетной записью», - пишет Гудман.

Однако он также сказал, что двухфакторная аутентификация, даже с этим недостатком, была «однозначно лучше», чем просто полагаться на обычную комбинацию имени пользователя и пароля.

Проблема с ASP

Двухфакторная аутентификация - это хороший способ защитить учетные записи пользователей, поскольку для этого требуется что-то, что вы знаете (пароль), и то, что у вас есть (мобильное устройство для получения специального кода). Пользователи, которые включили двухфакторную учетную запись в своих учетных записях Google, должны ввести свои обычные учетные данные для входа, а затем специальный одноразовый пароль, отображаемый на их мобильном устройстве. Специальный пароль может быть сгенерирован приложением на мобильном устройстве или отправлен с помощью SMS-сообщения и зависит от конкретного устройства. Это означает, что пользователю не нужно беспокоиться о создании нового кода каждый раз, когда он входит в систему, но каждый раз, когда он входит в систему с нового устройства. Однако для дополнительной безопасности код аутентификации истекает каждые 30 дней.

Отличная идея и реализация, но Google пришлось сделать «несколько компромиссов», таких как пароли для конкретных приложений, чтобы пользователи могли по-прежнему использовать приложения, которые не поддерживают двухэтапную проверку, отметил Гудман. ASP являются специализированными токенами, генерируемыми для каждого приложения (отсюда и название), которые пользователи вводят вместо комбинации пароль / токен. Пользователи могут использовать ASP для почтовых клиентов, таких как Mozilla Thunderbird, чатов, таких как Pidgin, и приложений календаря. Старые версии Android также не поддерживают двухэтапный режим, поэтому пользователям приходилось использовать ASP для входа на старые телефоны и планшеты. Пользователи могут также отозвать доступ к своей учетной записи Google, отключив ASP этого приложения.

Duo Security обнаружил, что ASP на самом деле не относятся к конкретным приложениям, и могут делать больше, чем просто перехватывать электронную почту по протоколу IMAP или календарным событиям с помощью CalDev. Фактически, один код может быть использован для входа практически в любое веб-свойство Google благодаря новой функции автоматического входа, появившейся в последних версиях Android и Chrome OS. Автоматический вход позволял пользователям, которые связывали свои мобильные устройства или Chromebook с их учетными записями Google, автоматически получать доступ ко всем связанным с Google страницам через Интернет, даже не видя другой страницы входа.

С этим ASP кто-то может перейти прямо на «страницу восстановления учетной записи» и редактировать адреса электронной почты и номера телефонов, на которые отправляются сообщения для сброса пароля.

«Этого было достаточно, чтобы мы осознали, что ASP представляют некоторые неожиданно серьезные угрозы безопасности», - сказал Гудман.

Duo Security перехватил ASP, анализируя запросы, отправленные с устройства Android на серверы Google. В то время как схема фишинга для перехвата ASP, вероятно, имела бы низкий уровень успеха, Duo Security предположил, что вредоносное ПО может быть разработано для извлечения ASP, хранящихся на устройстве, или использования слабой проверки SSL-сертификата для перехвата ASP в качестве человека-посредника. средняя атака.

Хотя исправления Google устраняют обнаруженные проблемы, «мы бы хотели, чтобы Google внедрил некоторые средства для дальнейшего ограничения привилегий отдельных ASP», - пишет Гудман.

Чтобы увидеть все сообщения из нашего покрытия RSA, проверьте нашу страницу Показать отчеты.

Ошибка двухфакторной аутентификации Google позволила захватить аккаунт