Відео: "Ил-2 Штурмовик" нового поколения - "Битва за Сталинград" и "Битва за Москву" #13 (Вересень 2024)
SAN FRANCISCO - Дослідники змогли використовувати паролі додатків, щоб обійти двофакторну аутентифікацію Google та отримати повний контроль над обліковим записом Gmail користувача.
Конференція з питань безпеки RSA 2013 року розпочинається серйозно завтра вранці, але багато учасників конференції вже розмовляли в центрі Москви в Сан-Франциско, щоб взяти участь у переговорах на саміті Альянсу з безпеки у галузі безпеки та на панелі групи довірених обчислень. Інші розпочали розмови на широкий асортимент тем, пов'язаних із безпекою, з іншими присутніми. Сьогодні вранці повідомлення від Duo Security про те, як дослідники знайшли спосіб обійти двофакторну аутентифікацію Google, була поширеною темою обговорення цього ранку.
Google дозволяє користувачам увімкнути двофакторну автентифікацію у своєму акаунті Gmail для посилення безпеки та генерувати спеціальні маркери доступу для додатків, які не підтримують двоетапну перевірку. Дослідники Duo Security знайшли спосіб зловживати цими спеціальними маркерами, щоб повністю обійти двофакторний процес, пише Адам Гудман, головний інженер з безпеки Duo Security. Duo Security повідомила Google про проблеми, і компанія "впровадила деякі зміни для зменшення найбільш серйозних загроз", - написав Гудман.
"Ми вважаємо, що це досить важлива дірка у сильній системі аутентифікації, якщо користувач все ще має якусь форму" пароля ", достатню для повного контролю над своїм обліковим записом", - написав Гудман.
Однак він також зазначив, що наявність двофакторної аутентифікації навіть із цим недоліком "однозначно краще", ніж просто покладання на звичайну комбінацію імені користувача / пароля.
Проблема з ASP
Двофакторна автентифікація - це хороший спосіб захистити облікові записи користувачів, оскільки для отримання спеціального коду потрібно щось, що ви знаєте (пароль), і щось, що у вас є (мобільний пристрій). Користувачі, які ввімкнули двофакторний обліковий запис Google, повинні ввести свої звичайні облікові дані для входу, а потім спеціальний пароль для одноразового використання, який відображається на мобільному пристрої. Спеціальний пароль може бути згенеровано програмою на мобільному пристрої або надіслано через SMS-повідомлення та є специфічним для пристрою. Це означає, що користувачеві не потрібно турбуватися про генерування нового коду кожного разу при вході в систему, але кожен раз, коли він входитиме з нового пристрою. Однак для додаткової безпеки код автентифікації закінчується кожні 30 днів.
Відмінна ідея та реалізація, але Google довелося зробити "кілька компромісів", таких як паролі, що стосуються додатків, щоб користувачі все ще могли використовувати додатки, які не підтримують двоетапну перевірку, зазначив Гудман. ASP - це спеціалізовані маркери, згенеровані для кожної програми (звідси і назва), яку вводять користувачі замість комбінації пароля / лексеми. Користувачі можуть використовувати ASP для клієнтів електронної пошти, таких як Mozilla Thunderbird, клієнтів чату, таких як Pidgin, та програм календаря. Старіші версії Android також не підтримують двоетапну програму, тому користувачам доводилося використовувати ASP для входу в старіші телефони та планшети. Користувачі також можуть скасувати доступ до свого облікового запису Google, відключивши ASP програми.
Duo Security виявив, що ASP насправді не були специфічними для додатків і могли б зробити більше, ніж просто захопити електронну пошту через протокол IMAP або події календаря за допомогою CalDev. Насправді один код можна було б використовувати для входу в майже будь-яку з веб-властивостей Google завдяки новій функції "автоматичного входу", запровадженій в останніх версіях ОС Android та Chrome. Автоматичний вхід дозволив користувачам, які зв’язали свої мобільні пристрої чи Chromebook з обліковими записами Google, автоматично отримувати доступ до всіх сторінок, пов’язаних з Google через Інтернет, не бачачи жодної сторінки входу.
З цим ASP, хтось може перейти безпосередньо до "сторінки відновлення облікового запису" та редагувати адреси електронної пошти та номери телефонів, куди надсилаються повідомлення про скидання пароля.
"Цього було достатньо, щоб ми зрозуміли, що ASP представляють деякі дивно-серйозні загрози безпеці", - сказав Гудман.
Duo Security перехопив ASP, аналізуючи запити, надіслані з пристрою Android на сервери Google. Хоча фішинг-схема для перехоплення ASP, ймовірно, матиме низький рівень успіху, Duo Security припускає, що зловмисне програмне забезпечення може бути розроблено для вилучення ASP, що зберігаються на пристрої, або скористатися поганою верифікацією сертифікатів SSL, щоб перехопити ASP як частину "перехідного" середина атаки.
Хоча виправлення Google вирішують знайдені проблеми, "ми б хотіли, щоб Google застосував деякі засоби для подальшого обмеження привілеїв окремих ASP", - написав Гудман.
Щоб переглянути всі публікації з нашого висвітлення RSA, перегляньте нашу сторінку Показати звіти.
