ข้อผิดพลาดการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google อนุญาตให้บัญชีหักหลัง

ซานฟรานซิสโก - นักวิจัยสามารถใช้รหัสผ่านเฉพาะแอปพลิเคชันเพื่อหลีกเลี่ยงการรับรองความถูกต้องด้วยสองปัจจัยของ Google และควบคุมบัญชี Gmail ของผู้ใช้ได้อย่างสมบูรณ์

การประชุมความปลอดภัย RSA 2013 จะเริ่มขึ้นในเช้าวันพรุ่งนี้อย่างจริงจัง แต่ผู้เข้าร่วมประชุมจำนวนมากได้เข้าร่วมใน Moscone Center ของซานฟรานซิสโกแล้วเพื่อพูดคุยในการประชุมสุดยอด Cloud Security Alliance Summit และกลุ่มคอมพิวเตอร์ที่เชื่อถือได้ คนอื่น ๆ คุยกันเรื่องหัวข้อที่เกี่ยวข้องกับความปลอดภัยกับผู้เข้าร่วมคนอื่น ๆ โพสต์เมื่อเช้านี้จาก Duo Security เกี่ยวกับวิธีที่นักวิจัยพบวิธีหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google เป็นหัวข้อสนทนาทั่วไปเมื่อเช้านี้

Google อนุญาตให้ผู้ใช้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชี Gmail ของพวกเขาเพื่อความปลอดภัยที่สูงขึ้นและสร้างโทเค็นการเข้าถึงพิเศษสำหรับแอปพลิเคชันที่ไม่สนับสนุนการยืนยันแบบสองขั้นตอน นักวิจัยที่ Duo Security ค้นพบวิธีที่จะใช้โทเค็นพิเศษเหล่านั้นเพื่อหลีกเลี่ยงกระบวนการสองปัจจัยโดยสิ้นเชิง Adam Adam นักเขียนวิศวกรความปลอดภัยหลักของ Duo Security เขียน Duo Security แจ้งให้ Google ทราบถึงปัญหาและ บริษัท ได้ดำเนินการ "เปลี่ยนแปลงบางอย่างเพื่อบรรเทาภัยคุกคามที่ร้ายแรงที่สุด" กู๊ดแมนเขียน

"เราคิดว่ามันเป็นช่องโหว่ที่ค่อนข้างสำคัญในระบบการตรวจสอบความถูกต้องที่แข็งแกร่งหากผู้ใช้ยังมี 'รหัสผ่าน' บางรูปแบบซึ่งเพียงพอที่จะควบคุมบัญชีของเขาได้อย่างสมบูรณ์" Goodman เขียน

อย่างไรก็ตามเขายังกล่าวอีกว่าการพิสูจน์ตัวตนแบบสองปัจจัยแม้จะมีข้อบกพร่องนี้ก็คือ "ดีกว่าอย่างไม่น่าเชื่อ" มากกว่าเพียงแค่ใช้ชื่อผู้ใช้ / รหัสผ่านร่วมกันตามปกติ

ปัญหาเกี่ยวกับ ASP

การรับรองความถูกต้องด้วยสองปัจจัยเป็นวิธีที่ดีในการรักษาความปลอดภัยบัญชีผู้ใช้เนื่องจากต้องการสิ่งที่คุณรู้ (รหัสผ่าน) และสิ่งที่คุณมี (อุปกรณ์มือถือเพื่อรับรหัสพิเศษ) ผู้ใช้ที่เปิดใช้งานปัจจัยสองประการในบัญชี Google ของพวกเขาจำเป็นต้องป้อนข้อมูลรับรองการเข้าสู่ระบบตามปกติจากนั้นรหัสผ่านแบบใช้ครั้งเดียวพิเศษที่ปรากฏบนอุปกรณ์มือถือ รหัสผ่านพิเศษอาจถูกสร้างขึ้นโดยแอปบนอุปกรณ์มือถือหรือส่งผ่านข้อความ SMS และเป็นอุปกรณ์เฉพาะ ซึ่งหมายความว่าผู้ใช้ไม่จำเป็นต้องกังวลเกี่ยวกับการสร้างรหัสใหม่ทุกครั้งที่พวกเขาเข้าสู่ระบบ แต่ทุกครั้งที่พวกเขาเข้าสู่ระบบจากอุปกรณ์ใหม่ อย่างไรก็ตามเพื่อความปลอดภัยเพิ่มเติมรหัสการตรวจสอบจะหมดอายุทุก 30 วัน

ความคิดและการใช้งานที่ยอดเยี่ยม แต่ Google ต้อง "ประนีประนอมเล็กน้อย" เช่นรหัสผ่านเฉพาะแอปพลิเคชันเพื่อให้ผู้ใช้ยังคงสามารถใช้งานแอปพลิเคชันที่ไม่รองรับการยืนยันสองขั้นตอนได้ ASP เป็นโทเค็นพิเศษที่สร้างขึ้นสำหรับแต่ละแอปพลิเคชัน (ดังนั้นชื่อ) ที่ผู้ใช้ป้อนแทนชุดรหัสผ่าน / โทเค็น ผู้ใช้สามารถใช้ ASP สำหรับไคลเอนต์อีเมลเช่น Mozilla Thunderbird แชทไคลเอนต์เช่น Pidgin และแอปพลิเคชันปฏิทิน Android เวอร์ชันเก่ายังไม่รองรับสองขั้นตอนดังนั้นผู้ใช้จึงต้องใช้ ASP เพื่อลงชื่อเข้าใช้โทรศัพท์และแท็บเล็ตรุ่นเก่า ผู้ใช้สามารถเพิกถอนการเข้าถึงบัญชี Google ของพวกเขาโดยการปิดการใช้งาน ASP ของแอปพลิเคชันนั้น

Duo Security ค้นพบว่า ASP ไม่ใช่แอพพลิเคชั่นที่เฉพาะเจาะจงจริง ๆ และสามารถทำได้มากกว่าแค่การดึงอีเมลผ่านโพรโทคอล IMAP หรือกิจกรรมในปฏิทินโดยใช้ CalDev ในความเป็นจริงสามารถใช้รหัสหนึ่งเพื่อเข้าสู่เกือบทุกคุณสมบัติเว็บของ Google ด้วยคุณสมบัติ "การเข้าสู่ระบบอัตโนมัติ" ใหม่ที่เปิดตัวใน Android และ Chrome OS เวอร์ชันล่าสุด การเข้าสู่ระบบอัตโนมัติอนุญาตให้ผู้ใช้ที่เชื่อมโยงอุปกรณ์มือถือหรือ Chromebooks กับบัญชี Google ของพวกเขาเพื่อเข้าถึงหน้าเว็บที่เกี่ยวข้องกับ Google ทั้งหมดโดยอัตโนมัติทางเว็บโดยไม่เคยเห็นหน้าเข้าสู่ระบบอื่น

ด้วย ASP นั้นใครบางคนสามารถตรงไปที่ "หน้าการกู้คืนบัญชี" และแก้ไขที่อยู่อีเมลและหมายเลขโทรศัพท์ที่ส่งข้อความรีเซ็ตรหัสผ่าน

"สิ่งนี้ก็เพียงพอแล้วที่เราจะตระหนักว่า ASPs นั้นนำเสนอภัยคุกคามความปลอดภัยที่น่าประหลาดใจอย่างยิ่ง" กู๊ดแมนกล่าว

Duo Security สกัดกั้น ASP โดยการวิเคราะห์คำขอที่ส่งจากอุปกรณ์ Android ไปยังเซิร์ฟเวอร์ของ Google ในขณะที่แผนการฟิชชิ่งเพื่อสกัดกั้น ASP น่าจะมีอัตราความสำเร็จในระดับต่ำ แต่ Duo Security คาดการณ์ว่ามัลแวร์สามารถออกแบบมาเพื่อแยก ASP ที่เก็บไว้ในอุปกรณ์หรือใช้ประโยชน์จากการตรวจสอบใบรับรอง SSL ที่ไม่ดีเพื่อสกัดกั้น ASP การโจมตีกลาง

ในขณะที่การแก้ไขของ Google แก้ไขปัญหาที่พบ "เรายินดีที่จะเห็น Google ใช้วิธีการบางอย่างเพื่อ จำกัด สิทธิ์ของ ASP แต่ละรายการ" Goodman เขียน

หากต้องการดูโพสต์ทั้งหมดจากการรายงานข่าวของเราให้ดูที่หน้าแสดงรายงานของเรา