Casa Vigilant de seguretat L’error d’autenticació de dos factors de Google va permetre el segrest de comptes

L’error d’autenticació de dos factors de Google va permetre el segrest de comptes

Vídeo: 🤔 Como recuperar Google Authenticator (2FA) Aclarando dudas!!! [UtilparaTodos] (De novembre 2024)

Vídeo: 🤔 Como recuperar Google Authenticator (2FA) Aclarando dudas!!! [UtilparaTodos] (De novembre 2024)
Anonim

SAN FRANCISCO: Els investigadors van poder utilitzar contrasenyes específiques de l’aplicació per obviar l’autenticació de dos factors de Google i obtenir un control complet sobre el compte de Gmail d’un usuari.

La Conferència de Seguretat RSA del 2013 comença de debò demà al matí, però molts dels assistents a la conferència ja estaven plegats al Moscone Center de San Francisco per conversar a la cimera Cloud Security Alliance i al Grup de confiança del grup de confiança. Altres van fer converses sobre un ampli assortit de temes relacionats amb la seguretat amb altres assistents. La publicació d’aquest matí de Duo Security sobre com els investigadors havien trobat una manera d’evitar l’autenticació de dos factors de Google va ser un tema habitual de discussió aquest matí.

Google permet als usuaris activar l’autenticació de dos factors al seu compte de Gmail per obtenir més seguretat i generar fitxes d’accés especial per a aplicacions que no admeten la verificació en dos passos. Els investigadors de Duo Security van trobar la manera d’abusar d’aquests fitxes especials per evitar el procés de dos factors, va escriure Adam Goodman, enginyer principal de seguretat de Duo Security. Duo Security va notificar a Google els problemes i la companyia ha "implementat alguns canvis per mitigar les amenaces més greus", va escriure Goodman.

"Creiem que és un forat força significatiu en un sistema d'autenticació fort si un usuari encara té alguna forma de" contrasenya "que és suficient per fer-se amb el control total del seu compte", va escriure Goodman.

Tot i això, també va dir que tenir una autenticació de dos factors, fins i tot amb aquest defecte, era "inequívocament millor" que només confiar en una combinació normal d'usuari / contrasenya.

El problema amb ASPs

L’autenticació de dos factors és una bona manera de protegir els comptes d’usuari, ja que requereix quelcom que saps (la contrasenya) i alguna cosa que tens (un dispositiu mòbil per obtenir el codi especial). Els usuaris que hagin activat dos factors en els seus comptes de Google han d’introduir les seves credencials d’inici de sessió normals i, a continuació, la contrasenya d’ús únic que es mostra al seu dispositiu mòbil. La contrasenya especial pot ser generada per una aplicació al dispositiu mòbil o enviada per missatge SMS i és específica del dispositiu. Això vol dir que l’usuari no ha de preocupar-se de generar un codi nou cada vegada que inicien la sessió, però cada vegada que inicien la sessió des d’un dispositiu nou. Tanmateix, per obtenir més seguretat, el codi d’autenticació caduca cada 30 dies.

Gran idea i implementació, però Google va haver de fer "uns quants compromisos", com ara contrasenyes específiques per a l'aplicació, de manera que els usuaris encara puguin utilitzar aplicacions que no admetin la verificació en dos passos, va apuntar Goodman. Els ASP són fitxes especialitzades generades per a cada aplicació (d’aquí el nom) que els usuaris introdueixen al lloc de la combinació de contrasenya i token. Els usuaris poden utilitzar ASP per a clients de correu electrònic com Mozilla Thunderbird, clients de xat com Pidgin i aplicacions de calendari. Les versions antigues d'Android tampoc no són compatibles amb dos passos, de manera que els usuaris van haver de fer servir ASP per iniciar la sessió en telèfons i tauletes més antics. Els usuaris també podrien revocar l'accés al seu compte de Google desactivant l'ASP d'aquesta aplicació.

Duo Security va descobrir que els ASP realment no eren específics per a l'aplicació, al cap i a la fi, i que podrien fer més que agafar missatges de correu electrònic sobre el protocol IMAP o els esdeveniments del calendari mitjançant CalDev. De fet, es podria utilitzar un codi per iniciar la sessió a gairebé qualsevol de les propietats web de Google gràcies a una nova característica de "connexió automàtica" introduïda en versions recents d'Android i Chrome OS. L'inici de sessió automàtica va permetre als usuaris que van enllaçar els seus dispositius mòbils o Chromebooks als seus comptes de Google accedir automàticament a totes les pàgines relacionades amb Google a través del web sense veure mai una altra pàgina d'inici de sessió.

Amb aquest ASP, algú podria dirigir-se directament a la "pàgina de recuperació del compte" i editar adreces de correu electrònic i números de telèfon on s'envien els missatges de restabliment de contrasenya.

"Això va ser suficient per adonar-nos que els ASP presentaven algunes amenaces de seguretat sorprenentment greus", va dir Goodman.

Duo Security va interceptar un ASP mitjançant l'anàlisi de les sol·licituds enviades des d'un dispositiu Android als servidors de Google. Si bé un esquema de phishing per interceptar ASPs podria tenir una taxa d’èxit baixa, Duo Security especulà que el programari maliciós es podia dissenyar per extreure ASPs emmagatzemats al dispositiu o aprofitar una verificació de certificat SSL deficient per interceptar ASPs com a part d’un manual. atac a la meitat

Si bé les solucions de Google tracten els problemes trobats, "ens agradaria veure que Google implementés alguns mitjans per restringir encara més els privilegis dels diferents ASP", va escriure Goodman.

Per veure totes les publicacions de la nostra cobertura RSA, consulteu la nostra Mostra de informes.

L’error d’autenticació de dos factors de Google va permetre el segrest de comptes