Hesla specifická pro aplikace oslabují dvoufaktorovou autentizaci Google, vědci tvrdí

Výzkumníci z poskytovatele dvoufaktorové autentizace Duo Security našli v systému ověřování Google mezery, které jim umožnily obcházet dvoustupňové ověření přihlášení společnosti zneužíváním jedinečných hesel používaných k propojení jednotlivých aplikací s účty Google.

Podle vědeckých pracovníků společnosti Duo Security Google opravil chybu 21. února, ale incident upozorňuje na skutečnost, že hesla Google pro konkrétní aplikace neposkytují granulární kontrola údajů o účtu.

Pokud je zapnutý, systém dvoufázového ověření Google vyžaduje zadání jedinečných kódů v additio n k běžnému heslu účtu, aby se mohl přihlásit. Je určen k tomu, aby zabránil únosům účtů, i když je heslo ohroženo. Jedinečné kódy lze obdržet buď na telefonním čísle přidruženém k účtu, nebo mohou být generovány pomocí aplikace pro smartphone.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Pouze dvoufázové ověření pracuje při přihlašování prostřednictvím webu Google. Aby bylo možné vyhovět poštovním klientům na počítači, chatovým programům, kalendářovým aplikacím atd., Společnost Google představila koncepci hesel pro konkrétní aplikace (ASP). Jedná se o náhodně generovaná hesla, která umožňují aplikacím přistupovat k účtu bez nutnosti použití druhého ověřovacího faktoru. ASP mohou být kdykoli zrušeny bez změny hlavního hesla účtu.

Problém je, že "ASP jsou z hlediska prosazování - vůbec ne specifické pro danou aplikaci!" výzkumníci společnosti Duo Security uvedli v pondělí na blogu. "Pokud vytvoříte ASP pro použití v (například) klientovi XMPP chatu, může být stejná ASP použita k čtení vašeho e-mailu přes protokol IMAP nebo k zachycení událostí kalendáře pomocí protokolu CalDAV.

Výzkumníci zjistili chybu v mechanizmus automatického přihlášení implementovaný v prohlížeči Chrome v nejnovějších verzích systému Android, který mu umožnil používat službu ASP, aby získal přístup k nastavení obnovení účtu Google a dvoufázovému ověření.

V podstatě by chyba mohla umožnit útočníkovi, který ukradl ASP pro účet Google, aby změnil číslo mobilního telefonu a e-mailovou adresu pro obnovení přidruženou k danému účtu, nebo dokonce úplně zakázat ověření ve dvou krocích.

"Nebylo zadáno nic jiného než uživatelské jméno, ASP a jedna žádost o //android.clients.google.com/auth, můžeme se přihlásit do jakékoliv webové služby Google bez žádného přihlašovacího příkazu (nebo dvoufázového ověření)! " výzkumníci společnosti Duo Security uvedli. "Tomu už neplatí 21. února, kdy inženýři společnosti Google posunuli opravu, aby tuto mezeru uzavřeli."

Kromě odstranění problému společnost Google zřejmě také změnila zobrazenou zprávu po generování hesla pro konkrétní aplikaci Upozorňujeme uživatele, že "toto heslo poskytuje úplný přístup k vašemu účtu Google."

"Domníváme se, že je to spíše významná díra v silném autentizačním systému, pokud má uživatel ještě nějakou formu" hesla " kontrola jeho účtu ", uvedli výzkumní pracovníci společnosti Duo Security. "Jsme však stále přesvědčeni, že ještě předtím, než jsme spustili opravu, umožnilo dvoufázové ověření společnosti Google jednoznačně lepší, než to neudělalo."

Vědci by rádi uvedli, že společnost Google zavedla nějaký mechanismus podobně jako tokeny OAuth, které by umožnily omezit oprávnění každého hesla pro konkrétní aplikaci.

Společnost Google neodpověděla okamžitě na žádost o komentář k této chybě nebo možná plány na implementaci podrobnějšího řízení hesel pro konkrétní aplikace v budoucnu.