SAN FRANCISCO - Vedci dokázali použiť heslá pre konkrétne aplikácie na obídenie dvojfaktorovej autentifikácie spoločnosti Google a na získanie úplnej kontroly nad účtom Gmail používateľa.
Bezpečnostná konferencia RSA v roku 2013 sa začína zajtra ráno, ale mnohí účastníci konferencie sa už frézovali v San Franciscovom Moscone Center, aby sa zúčastnili rozhovorov na Summite aliancie Cloud Security a na paneli skupiny dôveryhodných výpočtov. Iní viedli rozhovory o širokom sortimente tém súvisiacich s bezpečnosťou s ostatnými účastníkmi. Dnešný dopoludňajší príspevok spoločnosti Duo Security o tom, ako vedci našli spôsob, ako obísť dvojfaktorové overenie spoločnosti Google, bol dnes ráno bežnou témou diskusie.
Spoločnosť Google umožňuje používateľom zapnúť dvojfázové overenie na svojom účte Gmail, aby sa zvýšila bezpečnosť a generovali špeciálne prístupové tokeny pre aplikácie, ktoré nepodporujú dvojstupňové overenie. Vedci spoločnosti Duo Security našli spôsob, ako zneužiť tieto špeciálne prvky na úplné obídenie dvojfaktorového procesu, napísal Adam Goodman, hlavný bezpečnostný technik spoločnosti Duo Security. Spoločnosť Duo Security informovala spoločnosť Google o týchto problémoch a spoločnosť „implementovala niektoré zmeny na zmiernenie najzávažnejších hrozieb“, napísal Goodman.
„Myslíme si, že je to pomerne výrazná diera v silnom autentifikačnom systéme, ak má užívateľ stále nejakú formu„ hesla “, ktorá je dostatočná na prevzatie úplnej kontroly nad jeho účtom, “ napísal Goodman.
Uviedol však tiež, že dvojfaktorová autentifikácia, dokonca aj s touto chybou, bola „jednoznačne lepšia“, než sa spoliehať iba na bežnú kombináciu používateľského mena a hesla.
Problém s ASP
Dvojfaktorová autentifikácia je dobrý spôsob, ako zabezpečiť používateľské účty, pretože vyžaduje niečo, čo poznáte (heslo) a niečo, čo máte (mobilné zariadenie na získanie špeciálneho kódu). Používatelia, ktorí na svojich účtoch Google zapli dvojfaktorový účet, musia zadať svoje bežné prihlasovacie údaje a potom na svojom mobilnom zariadení zobraziť špeciálne heslo na jedno použitie. Špeciálne heslo môže byť vygenerované aplikáciou na mobilnom zariadení alebo odoslané prostredníctvom SMS správy a je špecifické pre dané zariadenie. To znamená, že používateľ sa nemusí starať o generovanie nového kódu zakaždým, keď sa prihlási, ale zakaždým, keď sa prihlási z nového zariadenia. Kvôli zvýšenej bezpečnosti však platnosť overovacieho kódu vyprší každých 30 dní.
Skvelý nápad a implementácia, ale spoločnosť Google musela urobiť „niekoľko kompromisov“, napríklad heslá pre konkrétne aplikácie, aby používatelia mohli naďalej používať aplikácie, ktoré nepodporujú dvojstupňové overenie, poznamenal Goodman. ASP sú špecializované tokeny generované pre každú aplikáciu (odtiaľ názov), ktorú používatelia zadávajú namiesto kombinácie heslo / token. Používatelia môžu používať ASP pre e-mailových klientov, ako je Mozilla Thunderbird, chatovacích klientov, ako je Pidgin, a aplikácie kalendára. Staršie verzie systému Android tiež nepodporujú dvojfázové použitie, takže používatelia sa museli prihlásiť do starších telefónov a tabletov pomocou ASP. Používatelia môžu tiež zrušiť prístup k svojmu účtu Google zakázaním ASP tejto aplikácie.
Spoločnosť Duo Security zistila, že ASP vlastne nie sú konkrétne špecifické pre danú aplikáciu a že pomocou CalDev môžu robiť viac, než len chytiť e-mail cez protokol IMAP alebo udalosti kalendára. V skutočnosti by sa jeden kód mohol použiť na prihlásenie do takmer všetkých webových vlastníctiev spoločnosti Google vďaka novej funkcii automatického prihlásenia zavedenej v posledných verziách systémov Android a Chrome OS. Automatické prihlásenie umožnilo používateľom, ktorí prepojili svoje mobilné zariadenia alebo Chromebooky so svojimi účtami Google, automaticky pristupovať na všetky stránky súvisiace s Google prostredníctvom webu bez toho, aby videli inú prihlasovaciu stránku.
S týmto ASP by niekto mohol ísť priamo na stránku obnovenia účtu a upravovať e-mailové adresy a telefónne čísla, na ktoré sa odosielajú správy na obnovenie hesla.
„To nám stačilo na to, aby sme si uvedomili, že ASP predstavovali prekvapivo závažné bezpečnostné hrozby, “ uviedol Goodman.
Duo Security zachytila ASP analýzou žiadostí odoslaných zo zariadenia Android na servery Google. Zatiaľ čo schéma phishingu na zachytenie ASP by pravdepodobne mala nízku mieru úspechu, spoločnosť Duo Security špekulovala, že malware by mohol byť navrhnutý tak, aby extrahoval ASP uložené v zariadení alebo aby využil slabé overenie certifikátu SSL na zachytenie ASP ako súčasti „man-in-“ stredný útok.
Kým opravy spoločnosti Google riešia zistené problémy, „radi by sme videli, ako spoločnosť Google implementuje niektoré prostriedky na ďalšie obmedzenie oprávnení jednotlivých ASP, “ napísal Goodman.
Ak chcete zobraziť všetky príspevky z nášho pokrytia RSA, prejdite na stránku Zobraziť správy.
