Lozinke specifične za aplikaciju oslabljuju Googleovu provjeru autentičnosti s dva faktora, tvrde istraživači

Istraživači davatelja usluga za provjeru autentičnosti s dva faktora Duo Security pronašli su prazninu u Googleovom sustavu autentifikacije koji im je dopuštao zaobići potvrdu prijave u dva koraka tvrtke zloupotrebljavajući jedinstvene zaporke koje se koriste za povezivanje pojedinačnih aplikacija na Google račune.

Prema istražiteljima Duo Securitya, Google je 21. veljače uklonio nedostatak, no događaj ističe činjenicu da Googleove zaporke za pristup aplikaciji ne daju granularne kontrola nad podacima računa.

Kada je omogućen, Googleov sustav potvrde u 2 koraka zahtijeva unos jedinstvenih kodova u dodatku n na redovnu zaporku računa da biste se prijavili. To je osmišljeno kako bi spriječio otimanje računa čak i kada je lozinka ugrožena. Jedinstvene kodove možete primiti na telefonski broj povezan s računom ili se može generirati pomoću aplikacije pametnih telefona.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Međutim, samo potvrda u 2 koraka radi pri prijavi putem Googleove web stranice. Kako bi ugradili stolne klijente e-pošte, programe za chat, kalendarske aplikacije i tako dalje, Google je predstavio koncept zaporke za pristup aplikaciji (ASP-ova). To su slučajno generirane lozinke koje aplikacijama omogućuju pristup računu bez potrebe drugog faktora autentifikacije. ASP-ovi se mogu opozvati u bilo kojem trenutku bez mijenjanja glavne lozinke računa.

Problem je "ASP-ovi - u smislu izvršenja - uopće nisu konkretni za aplikaciju!" istraživači Duo Security objavili su u ponedjeljak na blogu. "Ako stvorite ASP za upotrebu u (npr.) Klijentu za XMPP chat, isti se ASP može koristiti i za čitanje vaše e-pošte preko IMAP-a ili iskoristite kalendarske događaje pomoću CalDAV-a."

Istraživači su pronašli pogrešku mehanizam automatske prijavljivanja implementiran u Chromeu u najnovijim verzijama Androida koji im je omogućio upotrebu ASP-a za pristup oporavku Google računa i postavkama potvrde u dva koraka.

U biti, taj nedostatak mogao je omogućiti napadaču koji ukrao je ASP za Google račun kako bi promijenio broj mobilnog telefona i adresu e-pošte za oporavak povezanu s tim računom ili čak onemogućio potpuno potvrdu u 2 koraka.

"Dano samo korisničko ime, ASP i jedan zahtjev za //android.clients.google.com/auth, možemo se prijaviti na bilo koji Googleov web-entitet bez prijave za prijavu (ili potvrdu u 2 koraka)! " rekli su istraživači Duo Security. "To više nije slučaj 21. veljače, kada su Googleovi inženjeri pokrenuli ispravak kako bi zatvorili ovu prazninu."

Osim što je riješio problem, Google je očito također promijenio prikazanu poruku nakon generiranja zaporke za pristup aplikaciji kako bi upozoriti korisnike da "ova lozinka daje potpuni pristup vašem Google računu."

"Mislimo da je to prilično značajna rupa u jakom sustavu autentifikacije ako korisnik još uvijek ima neki oblik" lozinke "koji je dovoljan za preuzimanje punog kontrolu nad svojim računom ", rekli su istraživači Duo Security. "Ipak, i dalje smo uvjereni da je čak i prije nego što smo pokrenuli Googleovu potvrdu u dva koraka bila jasno bolja od toga".

Rekao je, istraživači žele vidjeti da Google implementira neku vrstu mehanizma slično OAuth znakovima koji bi omogućili ograničavanje povlastica svake pojedinačne zaporke za pristup aplikaciji.

Google nije odmah odgovorio na zahtjev za komentar o tom nedostatku ili mogućim planovima za primjenu više granularne kontrole za zaporke za aplikaciju u budućnosti.