Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Септември 2024)
SAN FRANCISCO - Изследователите успяха да използват специфични пароли за приложение, за да заобиколят двуфакторната автентификация на Google и да получат пълен контрол над потребителския акаунт в Gmail.
Конференцията за сигурност на RSA за 2013 г. започва сериозно утре сутринта, но много от участниците в конференцията вече се смилаха в центъра на Moscone в Сан Франциско, за да водят преговори на срещата на върха на Алианса за сигурност в облака и групата на Trusted Computing Group. Други започнаха разговори по широк асортимент от теми, свързани със сигурността, с други присъстващи. Тази сутрин публикация от Duo Security за това как изследователите са намерили начин да заобиколят двуфакторната автентификация на Google беше често срещана тема за дискусия тази сутрин.
Google позволява на потребителите да включат двуфакторно удостоверяване в своя акаунт в Gmail за по-голяма сигурност и генерират специални маркери за достъп за приложения, които не поддържат потвърждаване в две стъпки. Изследователите от Duo Security намериха начин да злоупотребяват с тези специални маркери, за да заобиколят напълно двуфакторния процес, пише Адам Гудман, главен инженер по сигурността в Duo Security. Duo Security уведомява Google за проблемите и компанията е „внедрила някои промени, за да смекчи най-сериозните от заплахите“, пише Goodman.
„Смятаме, че това е доста значителна дупка в силната система за автентификация, ако потребителят все още има някаква форма на„ парола “, която е достатъчна, за да поеме пълния контрол върху неговия акаунт“, написа Гудман.
Той обаче каза също, че наличието на двуфакторна автентификация, дори и с този недостатък, е "недвусмислено по-добро", отколкото просто да се разчита на нормална комбинация от потребителско име / парола.
Проблемът с ASP
Двуфакторното удостоверяване е добър начин да защитите потребителските акаунти, тъй като изисква нещо, което знаете (паролата) и нещо, което имате (мобилно устройство, за да получите специалния код). Потребителите, които са включили двуфакторни в своите акаунти в Google, трябва да въведат нормалните си идентификационни данни за вход и след това специалната парола за еднократна употреба, показана на мобилното им устройство. Специалната парола може да бъде генерирана от приложение на мобилното устройство или изпратена чрез SMS съобщение и е специфична за устройството. Това означава, че потребителят няма нужда да се притеснява от генерирането на нов код всеки път, когато влезе, но всеки път, когато влезе от ново устройство. За допълнителна сигурност обаче кодът за удостоверяване изтича на всеки 30 дни.
Страхотна идея и реализация, но Google трябваше да направи „няколко компромиси“, като например специфични за приложения пароли, така че потребителите все още да могат да използват приложения, които не поддържат проверка в две стъпки, отбеляза Гудман. ASP са специализирани маркери, генерирани за всяко приложение (оттук и името), което потребителите въвеждат вместо комбинацията парола / маркер. Потребителите могат да използват ASP за имейл клиенти като Mozilla Thunderbird, чат клиенти като Pidgin и календари. По-старите версии на Android също не поддържат две стъпки, така че потребителите трябваше да използват ASP за влизане в по-стари телефони и таблети. Потребителите също могат да отнемат достъп до своя акаунт в Google, като деактивират ASP на това приложение.
Duo Security откри, че ASP всъщност не са специфични за приложението в края на краищата и могат да направят нещо повече от просто грабване на имейл през IMAP протокола или събития в календара, използвайки CalDev. Всъщност един код може да бъде използван за влизане в почти всяка от уеб собственостите на Google благодарение на нова функция за автоматично влизане, въведена в последните версии на Android и Chrome OS. Автоматичното влизане позволява на потребителите, които са свързали мобилните си устройства или Chromebook със своите акаунти в Google, автоматично да осъществяват достъп до всички свързани с Google страници в мрежата, без изобщо да виждат друга страница за вход.
С този ASP някой може да отиде направо до „Страната за възстановяване на акаунта“ и да редактира имейл адреси и телефонни номера, където се изпращат съобщения за нулиране на паролата.
„Това беше достатъчно, за да разберем, че ASP представляват някои изненадващо сериозни заплахи за сигурността“, каза Гудман.
Duo Security прихвана ASP чрез анализ на заявки, изпратени от устройство с Android до сървърите на Google. Докато фишинг схема за прехващане на ASP вероятно ще има нисък процент на успех, Duo Security спекулира, че злонамерен софтуер може да бъде проектиран за извличане на ASP, съхранявани на устройството, или да се възползва от лоша проверка на SSL сертификат, за да прихване ASP като част от човек, средната атака.
Докато поправките на Google адресират намерените проблеми, „бихме искали да видим как Google прилага някои средства за по-нататъшно ограничаване на привилегиите на отделните ASP“, пише Goodman.
За да видите всички публикации от нашето покритие на RSA, вижте страницата ни Show Reports.
