Applikationsspecifikke adgangskoder svækker Googles tofaktor-godkendelse, siger forskere

Forskere fra tofaktorautentificering Duo Security fandt et smuthul i Googles autentificeringssystem, der gjorde det muligt for dem at omgå virksomhedens 2-trins login-verifikation ved at misbruge de unikke adgangskoder, der bruges til at forbinde individuelle applikationer til Google-konti.

Ifølge Duo Security-forskerne fastsatte Google fejlen den 21. februar, men hændelsen fremhæver det faktum, at Googles applikationsspecifikke adgangskoder ikke giver granulære kontrol over konto data.

Når aktiveret, kræver Googles 2-trins verifikationssystem indtastningen af ​​unikke koder i addio n til kontos almindelige adgangskode for at logge ind. Dette er designet til at forhindre, at kontoer bliver kapret, selvom adgangskoden er kompromitteret. De unikke koder kan enten modtages på et telefonnummer, der er knyttet til kontoen eller kan genereres ved hjælp af et smartphone-program.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Kun kun 2-trinsbekræftelse fungerer, når du logger ind via Googles websted. For at imødekomme desktop e-mail-klienter, chatprogrammer, kalenderprogrammer og så videre introducerede Google begrebet applikationsspecifikke adgangskoder (ASP'er). Disse er tilfældigt genererede adgangskoder, der tillader applikationer adgang til kontoen uden behov for en anden godkendelsesfaktor. ASP'er kan tilbagekaldes til enhver tid uden at ændre kontoens hovedadgangskode.

Problemet er, "ASP'er er - i form af håndhævelse - ikke faktisk applikationsspecifikke overhovedet!" Duo Security forskerne sagde mandag i et blogindlæg. "Hvis du opretter en ASP til brug i (for eksempel) en XMPP chat-klient, kan den samme ASP også bruges til at læse din email via IMAP, eller tag dine kalenderbegivenheder med CalDAV."

Forskerne fandt en fejl i auto-login-mekanismen implementeret i Chrome i de nyeste versioner af Android, der gjorde dem i stand til at bruge en ASP til at få adgang til en Google-kontoens gendannelse og 2-trins bekræftelsesindstillinger.

Fejlen kunne i det væsentlige have tilladt en angriber, der stjal en ASP for en Google-konto for at ændre mobilnummeret og den genoprettede e-mail-adresse, der er knyttet til den pågældende konto, eller endda deaktivere totrinsbekræftelse helt.

"Giver intet andet end et brugernavn, en ASP og en enkelt anmodning til //android.clients.google.com/auth, vi kan logge ind på en Google webegenskab uden nogen loginprompt (eller 2-trinsverifikation)! " Duo Security forskerne sagde. "Dette er ikke længere tilfældet pr. 21. februar, da Google-ingeniører skubbet en rettelse for at lukke dette smuthul."

Ud over at løse problemet ændrede Google tilsyneladende også meddelelsen, der blev vist efter at have genereret en applikationsspecifik adgangskode i rækkefølge at advare brugere om, at "denne adgangskode giver fuldstændig adgang til din Google-konto."

"Vi mener, at det er et ret betydeligt hul i et stærkt godkendelsessystem, hvis en bruger stadig har en eller anden form for" adgangskode ", der er tilstrækkeligt til at overtage fuld kontrol over hans konto, "sagde Duo Security forskerne. "Vi er dog stadig overbeviste om, at selv før de udrullede deres løsning, så Google's 2-trinsbekræftelse var utvetydigt bedre end ikke."

Når det er sagt, vil forskerne gerne se, at Google implementerer en slags mekanisme svarende til OAuth-tokens, der ville tillade at begrænse privilegierne for hver enkelt applikationsspecifik kodeord.

Google reagerede ikke straks på en anmodning om kommentar til denne fejl eller mulige planer om at implementere mere granulær kontrol for applikationsspecifikke adgangskoder i fremtiden.