Programspesifikke passord svekker Googles tofaktorautentisering, sier forskere

Forskere fra tofaktorautentiseringsleverandøren Duo Security fant et smutthull i Googles godkjenningssystem som tillot dem å omgå selskapets 2-trinns påloggingsverifisering ved å misbruke de unike passordene som brukes til å koble individuelle applikasjoner til Google-kontoer.

Ifølge Duo Security-forskerne fastsatte Google feilen den 21. februar, men hendelsen fremhever det faktum at Googles programspesifikke passord ikke gir granulær kontroll over konto data.

Når aktivert, krever Googles 2-trinns verifikasjonssystem innspillingen av unike koder i tillegg n til kontos vanlige passord for å logge inn. Dette er utformet for å forhindre at kontoer blir kapret selv når passordet er skadet. De unike kodene kan enten mottas på et telefonnummer som er knyttet til kontoen eller kan genereres ved hjelp av et smarttelefonprogram.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Men kun 2-trinns bekreftelse fungerer når du logger inn via Googles nettsted. For å kunne imøtekomme e-postklienter for skrivebord, chatprogrammer, kalenderprogrammer og så videre, introduserte Google konseptet av applikasjonsspesifikke passord (ASPer). Dette er tilfeldig genererte passord som tillater programmer å få tilgang til kontoen uten behov for en andre autentiseringsfaktor. ASP-er kan tilbakekalles når som helst uten å endre kontoens hovedpassord.

Problemet er, "ASPs er - når det gjelder håndhevelse - ikke egentlig applikasjonsspesifikk i det hele tatt!" Duo Security forskerne sa mandag i et blogginnlegg. "Hvis du oppretter en ASP for bruk i (for eksempel) en XMPP chat klient, kan samme ASP også brukes til å lese e-posten din via IMAP, eller ta kalendere med CalDAV."

Forskerne fant en feil i automatisk innloggingsmekanismen implementert i Chrome i de nyeste versjonene av Android som tillot dem å bruke en ASP for å få tilgang til en Google-kontoens gjenoppretting og 2-trinns bekreftelsesinnstillinger.

Feilen kunne i hovedsak ha tillatt en angriper som stjal en ASP for en Google-konto for å endre mobilnummeret og gjenopprettings-e-postadressen som er knyttet til den kontoen, eller deaktivere 2-trinns bekreftelse helt.

"Gitt bare et brukernavn, en ASP og en enkelt forespørsel til //android.clients.google.com/auth, vi kan logge inn på en hvilken som helst Google-webeiendom uten noen påloggingsprompt (eller 2-trinns bekreftelse)! " Duo Security forskerne sa. "Dette er ikke lenger tilfelle 21. februar, da Google-ingeniører presset en løsning for å lukke dette smutthullet."

I tillegg til å fikse problemet, viste Google tilsynelatende også meldingen som ble vist etter at du opprettet et programspesifikt passord for å kunne for å advare brukere om at "dette passordet gir full tilgang til Google-kontoen din."

"Vi synes det er et ganske betydelig hull i et sterkt autentiseringssystem hvis en bruker fortsatt har noen form for" passord "som er tilstrekkelig til å overta full kontroll over sin konto, "sa Duo Security forskerne. "Vi er imidlertid fortsatt sikre på at - selv før de ble utbedret, var det mulig at Google 2-trinns bekreftelse var utvilsomt bedre enn ikke å gjøre det."

Når det er sagt, vil forskerne gjerne se Google implementere en slags mekanisme ligner på OAuth-tokens som vil tillate begrensning av privilegiene til hvert enkelt applikasjonsspesifikt passord.

Google reagerte ikke umiddelbart på en forespørsel om kommentar om denne feilen eller mulige planer om å implementere mer granulær kontroll for programspesifikke passord i fremtiden.