Koti Securitywatch Googlen kaksifaktorinen todennusvirhe salli tilin kaappaamisen

Googlen kaksifaktorinen todennusvirhe salli tilin kaappaamisen

Video: Affordable Mesh WiFi: TP-Link Deco M4 (vs Google WiFi Speed Test) (Marraskuu 2024)

Video: Affordable Mesh WiFi: TP-Link Deco M4 (vs Google WiFi Speed Test) (Marraskuu 2024)
Anonim

SAN FRANCISCO - Tutkijat pystyivät käyttämään sovelluskohtaisia ​​salasanoja ohittamaan Googlen kaksifaktorisen todennuksen ja saamaan täyden hallinnan käyttäjän Gmail-tiliin.

Vuoden 2013 RSA-turvallisuuskonferenssi alkaa tosissaan huomenaamuna, mutta monet konferenssin osallistujista jauhosivat jo San Franciscon Moscone-keskuksessa keskustelemaan Cloud Security Alliancen huippukokouksessa ja Luotettavan tietotekniikan ryhmän paneelissa. Toiset pitivät keskusteluja laajasta valikoimasta turvallisuuteen liittyviä aiheita muiden osallistujien kanssa. Tämän aamun Duo Security -postitus siitä, kuinka tutkijat olivat löytäneet tavan ohittaa Googlen kaksifaktorinen todennus, olivat yleinen keskusteluaihe tänä aamuna.

Google antaa käyttäjille mahdollisuuden ottaa kaksifaktorinen todennus käyttöön Gmail-tilillä turvallisuuden parantamiseksi ja luoda erityisiä käyttöoikeuksia sovelluksille, jotka eivät tue kaksivaiheista vahvistusta. Duo Security -yrityksen tutkijat löysivät tavan väärinkäyttää näitä erikoismerkkejä kiertääkseen kaksifaktorisen prosessin kokonaan, kirjoitti Duo Securityn pääturvallisuusinsinööri Adam Goodman. Duo Security ilmoitti Googlelle ongelmista, ja yritys on "toteuttanut joitain muutoksia vakavimpien uhkien lieventämiseksi", Goodman kirjoitti.

"Mielestämme se on melko merkittävä aukko vahvassa todennusjärjestelmässä, jos käyttäjällä on edelleen jonkinlainen" salasana ", joka riittää tilin täydelliseen hallintaan", Goodman kirjoitti.

Hän sanoi kuitenkin myös, että kahden tekijän todennus, jopa tämän puutteen kanssa, oli "yksiselitteisesti parempi" kuin pelkkä normaaliin käyttäjänimi / salasana -yhdistelmään luottaminen.

Asia ASP: n kanssa

Kaksikerroinen todennus on hyvä tapa turvata käyttäjätilit, koska se vaatii jotain mitä tunnet (salasana) ja jotain mitä sinulla on (mobiililaite erityiskoodin saamiseksi). Käyttäjien, jotka ovat ottanut käyttöön kaksikerroisen tekijän Google-tilillään, on annettava normaalit kirjautumistiedot ja mobiililaitteessa näkyvä erityinen kertakäyttösalasana. Erityisen salasanan voi luoda mobiililaitteen sovellus tai lähettää tekstiviestinä, ja se on laitekohtainen. Tämä tarkoittaa, että käyttäjän ei tarvitse huolehtia uuden koodin luomisesta joka kerta sisään kirjautuessaan, vaan joka kerta kun hän kirjautuu sisään uudesta laitteesta. Lisävarmuuden vuoksi todennuskoodi vanhenee 30 päivän välein.

Upea idea ja toteutus, mutta Googlen oli tehtävä "muutama kompromissi", kuten sovelluskohtaiset salasanat, jotta käyttäjät voivat silti käyttää sovelluksia, jotka eivät tue kaksivaiheista vahvistusta, Goodman totesi. ASP: t ovat erikoistuneita tunnuksia, jotka luodaan jokaiselle sovellukselle (tästä seuraa nimi), jonka käyttäjät syöttävät salasana / merkki -yhdistelmän sijasta. Käyttäjät voivat käyttää ASP-protokollaa sähköpostiohjelmiin, kuten Mozilla Thunderbird, chat-asiakkaisiin, kuten Pidgin, ja kalenterisovelluksiin. Vanhemmat Android-versiot eivät myöskään tue kaksivaiheisia, joten käyttäjien oli käytettävä ASP-protokollaa kirjautumiseen vanhempiin puhelimiin ja tablet-laitteisiin. Käyttäjät voivat myös peruuttaa Google-tilinsä pääsyn poistamalla sovelluksen ASP käytöstä.

Duo Security huomasi, että ASP: t eivät olleet loppujen lopuksi sovelluskohtaisia ​​ja voisivat tehdä muutakin kuin vain tarttumalla sähköpostiin IMAP-protokollan tai kalenteritapahtumien avulla CalDev-ohjelmalla. Itse asiassa yhtä koodia voitiin käyttää kirjautumiseen melkein mihin tahansa Googlen verkkoominaisuuksiin viimeisissä Android- ja Chrome OS -versioissa käyttöön otetun uuden "automaattisen sisäänkirjautumisen" ominaisuuden ansiosta. Automaattisen kirjautumisen avulla käyttäjät, jotka linkittivät mobiililaitteensa tai Chromebookinsa Google-tiliinsä, pääsivät automaattisesti kaikkiin Googleen liittyviin sivuihin webissä koskaan näkemättä uutta kirjautumissivua.

Tällä ASP: llä joku voisi siirtyä suoraan ”Tilin palautussivulle” ja muokata sähköpostiosoitteita ja puhelinnumeroita, joille salasanan palautusviestit lähetetään.

"Tämä riitti, jotta huomasimme, että ASP: t esittivät joitain yllättävän vakavia turvallisuusuhkia", Goodman sanoi.

Duo Security sieppasi ASP: n analysoimalla Android-laitteelta Google-palvelimille lähetettyjä pyyntöjä. Vaikka tietojenkalasteluohjelmalla ASP: n sieppaamiseksi olisi todennäköisesti alhainen onnistumisaste, Duo Security arveli, että haittaohjelmat voitaisiin suunnitella purkamaan laitteeseen tallennetut ASP: t tai hyödyntämään huonoa SSL-varmenteen varmistusta ASP: n sieppaamiseksi osana ihmistä keskihyökkäys.

Vaikka Googlen korjaukset puuttuvat löydettyihin ongelmiin, "me toivoisimme nähdä Googlea toteuttavan joitain keinoja rajoittaa entisestään yksittäisten ASP: n etuoikeuksia", Goodman kirjoitti.

Katso kaikki RSA-kattavuutemme viestit tarkistamalla Näytä raportit -sivumme.

Googlen kaksifaktorinen todennusvirhe salli tilin kaappaamisen