Parolele specifice aplicațiilor slăbesc autentificarea cu două factori a Google, spun cercetătorii

Cercetătorii de la furnizorul de autentificare cu două factori, Duo Security, au găsit o lacună în sistemul de autentificare Google care le-a permis să ignore verificarea autentificării în doi pași prin abuzarea parolelor unice utilizate pentru a conecta aplicațiile individuale la conturile Google.

Potrivit cercetătorilor Duo Security, Google a rezolvat defectul pe 21 februarie, însă incidentul evidențiază faptul că parolele Google specifice pentru aplicații nu oferă granule controlul asupra datelor contului.

Dacă este activat, sistemul de verificare în doi pași Google necesită introducerea de coduri unice în additio n la parola obișnuită a contului pentru a vă conecta. Acest lucru este conceput pentru a împiedica deturnarea conturilor chiar și atunci când parola este compromisă. Codurile unice pot fi primite fie la un număr de telefon asociat contului, fie pot fi generate utilizând o aplicație smartphone.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Cu toate acestea, funcționează atunci când vă conectați prin site-ul Google. Pentru a putea găzdui clienți de e-mail desktop, programe de chat, aplicații de calendar și așa mai departe, Google a introdus conceptul de parole specifice aplicațiilor (ASP). Acestea sunt parole generate aleatoriu, care permit aplicațiilor să acceseze contul fără a fi nevoie de un al doilea factor de autentificare. ASP-urile pot fi revocate în orice moment fără a schimba parola principală a contului.

Problema este că "ASP-urile sunt - în termeni de executare - nu sunt de fapt specifice aplicațiilor!" cercetatorii Duo Security au declarat luni intr-un post pe blog. "Dacă creați un ASP pentru a fi utilizat în (de exemplu) un client de chat XMPP, același ASP poate fi, de asemenea, utilizat pentru a vă citi e-mailurile prin IMAP sau pentru a vă apuca evenimentele din calendar cu CalDAV."

Cercetătorii au descoperit un defect mecanismul de auto-conectare implementat în Chrome în cele mai recente versiuni de Android care le-a permis să utilizeze un ASP pentru a avea acces la setările de recuperare și setările de verificare în doi pași

. În esență, defectul ar fi permis unui atacator care a furat un ASP pentru un cont Google pentru a schimba numărul de telefon mobil și adresa de e-mail de recuperare asociată acelui cont sau chiar dezactivați verificarea în doi pași.

"Având în vedere doar un nume de utilizator, un ASP și o singură cerere de //android.clients.google.com/auth, ne putem conecta la orice proprietate web Google fără nici un prompt de conectare (sau verificare în doi pași)! " au declarat cercetatorii Duo Security. "Aceasta nu mai este situația din 21 februarie, când inginerii Google au împins o soluție pentru a închide această lacună."

Pe lângă remedierea problemei, Google a schimbat, de asemenea, mesajul afișat după ce a generat o parolă specifică aplicației pentru a avertiza utilizatorii că "această parolă oferă acces complet la contul dvs. Google."

"Considerăm că este o gaură destul de semnificativă într-un sistem puternic de autentificare dacă un utilizator are încă o formă de" parolă "suficientă pentru a prelua plin controlul contului său ", au spus cercetătorii Duo Security. "Cu toate acestea, suntem în continuare încrezători că, chiar înainte de a lansa remedierile, permiterea verificării în doi pași a companiei Google a fost fără îndoială mai bună decât a nu face acest lucru."

Acestea fiind spuse, cercetătorii ar dori să vadă implementarea de către Google a unui mecanism similar cu jetoanele OAuth care ar permite restricționarea privilegiilor fiecărei parole specifice unei aplicații.

Google nu a răspuns imediat la o solicitare de comentarii cu privire la acest defect sau la posibilele planuri de implementare a controlului mai granular pentru parolele specifice aplicațiilor în viitor.