Video: Week 10 (Oktober 2024)
SAN FRANCISCO - Raziskovalci so lahko z uporabo gesla, ki se nanašajo na aplikacijo, zaobšli Googlovo dvofaktorsko avtentikacijo in pridobili popoln nadzor nad uporabnikovim Gmail računom.
Varnostna konferenca RSA 2013 se začne resno jutri zjutraj, vendar se je veliko udeležencev konference že mudilo v centru Moscone v San Franciscu, da bi se udeležili pogovorov na vrhu Cloud Alliance Alliance in panelu Trusted Computing Group. Drugi so sprožili pogovore o številnih temah, povezanih z varnostjo, z drugimi udeleženci. Zjutraj je objavljeno sporočilo družbe Duo Security o tem, kako so raziskovalci našli način, kako zaobiti Googlovo dvofaktorno avtentikacijo.
Google uporabnikom omogoča, da v svojem Gmail računu vklopijo dvofaktorsko preverjanje pristnosti za večjo varnost in ustvarijo posebne žetone dostopa za aplikacije, ki ne podpirajo dvostopenjskega preverjanja. Raziskovalci v podjetju Duo Security so našli načine, kako zlorabiti te posebne žetone, da bi popolnoma zaobšli dvofaktorski postopek, je zapisal Adam Goodman, glavni varnostni inženir pri Duo Security. Podjetje Duo Security je o težavah obvestilo Google, podjetje pa je "izvedlo nekaj sprememb, da bi ublažilo najresnejše grožnje", je zapisal Goodman.
"Menimo, da gre za precej pomembno luknjo v močnem avtentikacijskem sistemu, če uporabnik še vedno ima neko obliko 'gesla', ki zadostuje za popoln nadzor nad njegovim računom, " je zapisal Goodman.
Vendar pa je tudi dejal, da je imeti dvofaktorsko preverjanje pristnosti, tudi s to napako, "nedvoumno boljše", kot pa se je zanašati na običajno kombinacijo uporabniškega imena in gesla.
Težava z ASP-ji
Dvofaktorska avtentikacija je dober način za zaščito uporabniških računov, saj zahteva nekaj, kar veste (geslo) in nekaj, kar imate (mobilno napravo, da dobite posebno kodo). Uporabniki, ki so v svojih Google Računih vklopili dvofaktor, morajo vnesti svoje običajne podatke za prijavo in nato posebno geslo za enkratno uporabo, prikazano na svoji mobilni napravi. Posebno geslo lahko ustvari aplikacija v mobilni napravi ali pošlje prek SMS-sporočila in je specifično za napravo. To pomeni, da uporabniku ni treba skrbeti za ustvarjanje nove kode vsakič, ko se prijavi, ampak vsakič, ko se prijavi iz nove naprave. Za dodatno varnost pa koda za preverjanje pristnosti poteče vsakih 30 dni.
Odlična ideja in izvedba, vendar je Google moral narediti "nekaj kompromisov", kot so gesla, specifična za aplikacijo, da so uporabniki še vedno lahko uporabljali aplikacije, ki ne podpirajo dvostopenjskega preverjanja, je opozoril Goodman. ASP-ji so specializirani žetoni, ustvarjeni za vsako aplikacijo (od tod tudi ime), ki jo uporabniki vnesejo namesto kombinacije gesla / žetona. Uporabniki lahko uporabljajo ASP za e-poštne odjemalce, kot je Mozilla Thunderbird, odjemalce za klepet, kot je Pidgin, in koledarske aplikacije. Starejše različice Android prav tako ne podpirajo dvostopenjskega koraka, zato so morali uporabniki uporabljati ASP za prijavo na starejše telefone in tablične računalnike. Uporabniki lahko prekličejo tudi dostop do svojega Google Računa, tako da onemogočijo ASP te aplikacije.
Podjetje Duo Security je odkrilo, da ASP-ji dejansko niso bili specifični za aplikacijo in bi lahko s CalDev naredili več kot le pobiranje e-pošte prek protokola IMAP ali koledarskih dogodkov. V resnici bi lahko eno kodo uporabili za prijavo v skoraj katero koli Googlovo spletno lastnost zahvaljujoč novi funkciji za samodejno prijavo, uvedeni v zadnjih različicah Android in Chrome OS. Samodejna prijava je omogočila uporabnikom, ki so povezali svoje mobilne naprave ali Chromebooke s svojimi Google Računi, da samodejno dostopajo do vseh Googlovih strani, povezanih s spletom, ne da bi videli drugo stran za prijavo.
S tem ASP-jem lahko nekdo gre naravnost na stran za obnovitev računa in ureja e-poštne naslove in telefonske številke, kjer se pošiljajo sporočila o ponastavitvi gesla.
"To je bilo dovolj, da smo ugotovili, da ASP-ji predstavljajo nekatere presenetljivo resne grožnje varnosti, " je dejal Goodman.
Duo Security je ASP prestregel z analizo zahtev, poslanih z naprave Android na Googlove strežnike. Medtem ko bi lažno lažno predstavljanje za prestrezanje ASP-jev verjetno imelo nizko stopnjo uspeha, je Duo Security ugibal, da je zlonamerna programska oprema lahko zasnovana tako, da izvleče ASP, shranjene v napravi, ali izkoristi slabo preverjanje SSL certifikatov za prestrezanje ASP-jev kot dela človeka napad sredi
Medtem ko se Googlovi popravki lotevajo najdenih težav, "bi radi videli, da Google izvaja nekatere načine za nadaljnjo omejitev privilegijev posameznih ASP-jev, " je zapisal Goodman.
Če si želite ogledati vse objave iz našega poročila o RSA, si oglejte našo stran Pokaži poročila.
