Sovelluskohtaiset salasanat heikentävät Googlen kaksitasoista todentamista, tutkijat sanovat

Kahden tekijän todentamispalveluntarjoajan tutkijat Duo Security löysivät porsaan Googlen todennusjärjestelmässä, joka mahdollisti heidän ohittaa yrityksen kaksivaiheisen kirjautumistarkistuksen väärinkäyttämällä yksilöllisiä salasanoja, joita käytetään yksittäisten sovellusten yhdistämiseen Google-tileihin.

Duo Security-tutkijoiden mukaan Google vahvisti virheen 21. helmikuuta, mutta tapaus korostaa, että Googlen sovelluskohtaiset salasanat eivät anna rakeisia tilitietojen hallinta

Kun käytössä, Googlen kaksivaiheinen vahvistusjärjestelmä edellyttää ainutlaatuisten koodien syöttämistä lisäosassa n kirjautumiseen sisäänkirjautumisen yhteydessä. Tämän tarkoituksena on estää tilien kaappaaminen, vaikka salasana vaarantuisi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Vain kaksivaiheinen vahvistus (vain kaksivaiheinen vahvistus) toimii kirjautuessasi Googlen sivuston kautta. Jotta työpöydän sähköpostiasiakkaat, chat-ohjelmat, kalenterisovellukset ja niin edelleen voitaisiin mukauttaa, Google esitteli sovelluskohtaisten salasanojen (ASP) käsitteen. Nämä ovat satunnaisesti luotuja salasanoja, joiden avulla sovellukset voivat käyttää tiliä ilman toisen todennuskertoimen tarvetta. ASP: t voidaan peruuttaa milloin tahansa muuttamatta tilin pääsalasanaa.

Ongelmana on, että "ASP: t ovat - täytäntöönpanon kannalta - ei lainkaan sovelluskohtaista!" Duo Security tutkijat sanoivat maanantaina blogikirjoituksessa. "Jos luot ASP: n (esim.) XMPP-chat-asiakasohjelmaan, samaa ASP: tä voidaan käyttää myös lukemaan sähköpostisi IMAP: n kautta tai napata kalenteritapahtumasi CalDAV: n avulla."

Tutkijat löysivät virheen automaattinen kirjautumismekanismi, joka on toteutettu Chromessa viimeisimmissä Android-versioissa, joiden avulla he voivat käyttää ASP: tä päästäkseen Google-tilin palautus- ja kaksivaiheisen vahvistuksen asetuksiin.

Pohjimmiltaan tämä virhe olisi voinut sallia hyökkääjän, joka varasti Google-tilillä olevan ASP: n, muuttaa kyseiseen tiliin liittyvää matkapuhelinnumeroa ja palautus-sähköpostiosoitetta tai jopa poistaa kaksivaiheisen vahvistuksen kokonaan.

"Ei vain käyttäjätunnusta, ASP: tä ja yksittäistä pyyntöä //android.clients.google.com/auth, voimme kirjautua mihin tahansa Googlen verkko-omaisuuteen ilman kirjautumisvihjeitä (tai kaksivaiheista vahvistusta)! " Duo Security tutkijat sanoivat. "Tämä ei ole enää sellainen kuin 21. helmikuuta, jolloin Google-insinöörit tekivät korjauksen sulkemaan tämän porsaanreiän."

Googlen ongelman korjaamisen lisäksi näennäisesti muutettiin myös viestiä, joka oli näytetty sovelluskohtaisen salasanan luomisen jälkeen varoittaa käyttäjiä siitä, että "tämä salasana antaa täydellisen pääsyn Google-tiliisi."

"Mielestämme tämä on melko merkittävä reikä vahvaan todennusjärjestelmään, jos käyttäjällä on vielä jonkinlainen" salasana ", joka riittää ottamaan täyden hallita hänen tilinsä, "Duo Security tutkijat sanoivat. "Olemme kuitenkin edelleen vakuuttuneita siitä, että - ennen kuin otimme käyttöön Googlen kaksivaiheisen vahvistuksen käyttöönoton, se oli yksiselitteisesti parempi kuin ei."

Tutkijat toivovat, että Google toteuttaa jotain mekanismia samanlainen kuin OAuth-tunnukset, joiden avulla rajoitettaisiin jokaisen yksittäisen sovelluskohtaisen salasanan oikeudet.

Google ei vastannut välittömästi pyyntöön kommentoida tätä puutetta tai mahdollisia suunnitelmia sovelluskohtaisten salasanojen tarkemman valvonnan toteuttamiseksi tulevaisuudessa.