סיסמאות ספציפיות ליישום מחלישות את האימות של שני גורמים בגוגל, אומרים החוקרים

חוקרים של ספק אימות דו-כיווני Duo Security מצאו פרצה במערכת האימות של Google, שאיפשרה להם לעקוף את אימות הכניסה הדו-שלבי של החברה על ידי ניצול לרעה של הסיסמאות הייחודיות המשמשות לחיבור יישומים בודדים לחשבונות Google.

לפי חוקרי ה- Duo Security, Google תיקנה את הפגם ב -21 בפברואר, אך האירוע מדגיש את העובדה שסיסמאות ספציפיות ליישום של Google אינן מספקות פירוט שליטה על נתוני חשבון.

כאשר מופעלת, מערכת האימות הדו-שלבית של Google דורשת קלט של קודים ייחודיים בתוסף n אל הסיסמה הרגילה של החשבון כדי להיכנס. הדבר נועד למנוע חדירת חשבונות גם כאשר הסיסמה נפגעת. ניתן לקבל את הקודים הייחודיים במספר טלפון המשויך לחשבון או להיווצר באמצעות יישום טלפון חכם.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

עם זאת, אימות דו-שלבי בלבד עובד כאשר אתה מתחבר דרך האתר של Google. כדי להתאים ללקוחות דואר אלקטרוני שולחניים, תוכניות צ'אט, יישומי לוח שנה וכן הלאה, Google הציגה את הרעיון של סיסמאות ספציפיות ליישום (ASPs). אלה הן סיסמאות שנוצרו באופן אקראי המאפשרות ליישומים לגשת לחשבון ללא צורך בגורם אימות שני. ASPs ניתן לבטל בכל עת מבלי לשנות את הסיסמה העיקרית של החשבון.

הבעיה היא, "ASPs הם במונחים של אכיפה - לא ממש ספציפית ליישום בכלל!" כך דיווחו אתמול (ד ') חוקרי האבטחה. "אם אתה יוצר ASP לשימוש ב (לדוגמה) לקוח צ'אט XMPP, אותו ASP יכול לשמש גם לקריאת הדוא"ל שלך על פני IMAP, או לתפוס את אירועי לוח השנה שלך עם CalDAV".

החוקרים מצאו פגם ב מנגנון הכניסה האוטומטית שמיושם ב- Chrome בגירסאות העדכניות ביותר של Android, שאיפשרו להם להשתמש ב- ASP כדי לקבל גישה לשחזור חשבון Google ולהגדרות אימות דו-שלבי.

למעשה, הפגם יכול היה לאפשר לתוקף גנבו ASP עבור חשבון Google כדי לשנות את מספר הטלפון הנייד ואת כתובת האימייל לשחזור המשויכים לחשבון זה או אפילו להשבית את האימות הדו-שלבי לחלוטין.

"לא ניתן לקבל רק שם משתמש, ASP ו בקשה אחת //android.clients.google.com/auth, אנו יכולים להיכנס לכל נכס אינטרנט של Google ללא כל בקשה להתחברות (או אימות דו-שלבי)! " כך אמרו החוקרים. "זה כבר לא המקרה נכון ל -21 בפברואר, כאשר מהנדסי גוגל דחפו תיקון כדי לסגור את הפרצה הזו".

בנוסף לתיקון הבעיה, Google כנראה שינתה גם את ההודעה המוצגת לאחר שיצרה סיסמה ספציפית ליישום כדי להזהיר את המשתמשים כי "סיסמה זו מעניקה גישה מלאה לחשבון Google שלך."

"אנחנו חושבים שזה חור משמעותי במערכת אימות חזקה אם למשתמש יש עדיין סוג כלשהו של 'סיסמה', מספיק כדי להשתלט על שליטה על חשבונו ", אמרו חוקרי ה- Duo Security. "עם זאת, אנחנו עדיין בטוחים כי עוד לפני שהחלנו את האימות הדו-שלבי של Google המאפשרים תיקון דו-שלבי, היה ברור יותר מאשר לא לעשות זאת".

עם זאת, החוקרים רוצים לראות ש- Google מיישמת מנגנון כלשהו בדומה לאסימוני OAuth שיאפשרו הגבלת ההרשאות של כל סיסמה ספציפית ליישום.

Google לא הגיבה מיד לבקשה להערה על פגם זה או על תוכניות אפשריות ליישם שליטה מפורטת יותר על סיסמאות ספציפיות ליישום בעתיד