Az alkalmazásspecifikus jelszavak gyengítik a Google kétütemű hitelesítését, a kutatók szerint

A kétfaktorú hitelesítési szolgáltatóból származó Duo Security kutatók a Google hitelesítési rendszerében kiskaput találtak, amely lehetővé tette, hogy megkerüljék a cég kétlépcsős bejelentkezési ellenőrzését az egyedi alkalmazások Google-fiókokhoz való hozzárendeléséhez használt egyedi jelszavakkal való visszaélés miatt.

A Duo Security kutatói szerint a Google 2005. február 21-én megszüntette a hibát, de az esemény rámutat arra, hogy a Google alkalmazásspecifikus jelszavai nem tartalmaznak granuláris a fiókadatok ellenőrzése

Ha engedélyezve van, a Google kétlépcsős azonosítási rendszere egyedi kódok bevitelét igényli az additio-ban n a fiók rendszeres jelszavához a bejelentkezéshez. Ennek célja, hogy megakadályozza a fiókok eltérítését, még akkor is, ha a jelszó veszélybe kerül.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows PC-ről]

Mindazonáltal kétlépcsős azonosítás csak akkor lehetséges, ha az egyedi kódok a számlához társított telefonszámon érkeznek, működik, amikor bejelentkezik a Google webhelyén. Az asztali e-mail kliensek, csevegőprogramok, naptáralkalmazások és így tovább történő elhelyezéséhez a Google bevezette az alkalmazás-specifikus jelszavak fogalmát. Ezek véletlenszerűen generált jelszavak, amelyek lehetővé teszik az alkalmazások számára a fiókhoz való hozzáférést anélkül, hogy szükség lenne egy második hitelesítési tényezőre. Az ASP-ek bármikor visszavonhatók a fiók fő jelszavának megváltoztatása nélkül.

A probléma az, hogy "az ASP-ek - a végrehajtás szempontjából - egyáltalán nem alkalmazási specifikusak!" a Duo Security kutatói hétfőn egy blogbejegyzésben jelentették be. "Ha létrehoz egy ASP-t (például) egy XMPP csevegőprogramhoz, akkor ugyanazt az ASP-t használhatja az e-mailek IMAP-n keresztüli olvasásához, vagy a naptári események megragadása a CalDAV-val."

A kutatók hibát találtak az Android legújabb verzióiban Chrome-ban bevezetett automatikus bejelentkezési mechanizmus, amely lehetővé tette számukra, hogy egy ASP-t használjanak a Google-fiók helyreállításához és a kétlépcsős azonosításhoz.

Alapvetően a hiba megengedhette, hogy egy támadó ellopott egy ASP-t egy Google-fiókhoz, hogy megváltoztassa a fiókhoz tartozó mobiltelefonszámot és helyreállítási e-mail címet, vagy akár teljesen letiltja a kétlépcsős azonosítást.

"Csak egy felhasználónevet, egy ASP-t és egy https kérést tartalmaz: //android.clients.google.com/auth, tudunk bejelentkezni bármely Google webes ingatlanba bejelentkezési (vagy kétlépcsős azonosítás nélkül) nélkül! " a Duo Security kutatói szerint. "Ez már nem áll fenn a február 21-én, amikor a Google mérnökei a hiba megszüntetéséért egy javítást hajtottak végre."

A probléma megoldása mellett a Google láthatóan megváltoztatta az alkalmazásspecifikus jelszó generálása után megjelenő üzenetet is hogy "ez a jelszó teljes hozzáférést biztosít Google Fiókjához."

"Úgy gondoljuk, hogy ez egy meglehetősen jelentős lyuk egy erős hitelesítési rendszerben, ha a felhasználónak még van valamilyen" jelszava ", amely elegendő ahhoz, ellenőrzése a számlája ", a Duo Security kutatók szerint. "Mindazonáltal még mindig biztosak vagyunk benne, hogy még mielőtt a javításra alkalmas Google kétlépcsős azonosítását kijavítanák, egyértelműen jobb volt, mint nem."

Ez azt jelentette, hogy a kutatók szeretnék látni, hogy a Google valamilyen mechanizmust hasonlóan az OAuth tokenekhez, amelyek lehetővé teszik az egyes alkalmazásspecifikus jelszavak kiváltságainak korlátozását.

A Google nem válaszolt azonnal a megjegyzésre vonatkozó kérelemre a hiba vagy az esetleges tervek tekintetében,.