Video: EDU in 90: G Suite Enterprise for Education (Oktober 2024)
SAN FRANCISCO - Forskere var i stand til at bruge applikationsspecifikke adgangskoder til at omgå Googles tofaktorautentisering og få fuld kontrol over en brugers Gmail-konto.
RSA-sikkerhedskonferencen i 2013 begynder for alvor i morgen formiddag, men mange af de deltagende konference deltager allerede i San Franciscos Moscone Center for at tage forhandlinger på Cloud Security Alliance-topmødet og Trusted Computing Group Panel. Andre afsluttede samtaler om et bredt udvalg af sikkerhedsrelaterede emner med andre deltagere. Formiddagens indlæg fra Duo Security om, hvordan forskere havde fundet en måde at omgå Googles tofaktorautentisering, var et almindeligt diskussionsemne i morges.
Google giver brugerne mulighed for at tænde for tofaktorautentisering på deres Gmail-konto for større sikkerhed og generere specielle adgangstokens til applikationer, der ikke understøtter verifikation i to trin. Forskere ved Duo Security fandt en måde at misbruge de specielle symboler til at omgå tofaktorprocessen fuldstændigt, skrev Adam Goodman, vigtigste sikkerhedsingeniør hos Duo Security. Duo Security underrettede Google om problemerne, og virksomheden har "implementeret nogle ændringer for at afbøde de mest alvorlige af truslerne, " skrev Goodman.
"Vi synes, det er et ret betydeligt hul i et stærkt autentificeringssystem, hvis en bruger stadig har en form for 'adgangskode', der er tilstrækkelig til at overtage fuld kontrol over hans konto, " skrev Goodman.
Han sagde imidlertid også, at det at have tofaktorautentisering, selv med denne fejl, var "utvetydigt bedre" end blot at stole på en normal brugernavn / adgangskode-kombination.
Problemet med ASP'er
To-faktor-godkendelse er en god måde at sikre brugerkonti, da det kræver noget, du kender (adgangskoden), og noget, du har (en mobil enhed for at få den specielle kode). Brugere, der har tændt for to-faktorer på deres Google-konti, skal indtaste deres normale loginoplysninger og derefter den specielle adgangskode til én brug, der vises på deres mobilenhed. Den specielle adgangskode kan genereres af en app på den mobile enhed eller sendes via SMS-besked og er enhedsspecifik. Dette betyder, at brugeren ikke behøver at bekymre sig om at generere en ny kode, hver gang de logger på, men hver eneste gang de logger ind fra en ny enhed. For yderligere sikkerhed udløber godkendelseskoden hver 30. dag.
Fantastisk idé og implementering, men Google var nødt til at indgå "et par kompromiser", såsom applikationsspecifikke adgangskoder, så brugerne stadig kunne bruge applikationer, der ikke understøtter verifikation i to trin, bemærkede Goodman. ASP'er er specialiserede tokens, der genereres til hver applikation (deraf navnet), som brugerne indtaster i stedet for en kombination af adgangskode / token. Brugere kan bruge ASP'er til e-mail-klienter som Mozilla Thunderbird, chatklienter som Pidgin og kalenderapplikationer. Ældre Android-versioner understøtter heller ikke totrins, så brugerne måtte bruge ASP'er til at logge på ældre telefoner og tablets. Brugere kan også tilbagekalde adgang til deres Google-konto ved at deaktivere applikationens ASP.
Duo Security opdagede, at ASP'erne faktisk ikke var applikationsspecifikke, når alt kommer til alt, og kunne gøre mere end bare at få fat i e-mail over IMAP-protokollen eller kalenderbegivenhederne ved hjælp af CalDev. Faktisk kunne en kode bruges til at logge på næsten enhver af Googles webegenskaber takket være en ny "auto-login" -funktion, der blev introduceret i nyere Android- og Chrome OS-versioner. Auto-login tillader brugere, der linkede deres mobile enheder eller Chromebooks til deres Google-konti, automatisk adgang til alle Google-relaterede sider over Internettet uden nogensinde at se en anden login-side.
Med denne ASP kunne nogen gå direkte til “Kontogendannelsessiden” og redigere e-mail-adresser og telefonnumre, hvor meddelelser om nulstilling af adgangskode sendes.
"Dette var nok for os til at indse, at ASP'er præsenterede nogle overraskende alvorlige sikkerhedstrusler, " sagde Goodman.
Duo Security opfangede en ASP ved at analysere anmodninger sendt fra en Android-enhed til Google-servere. Mens en phishing-ordning til aflytning af ASP'er sandsynligvis ville have en lav succesrate, spekulerede Duo Security om, at malware kunne være designet til at udtrække ASP'er, der er gemt på enheden eller drage fordel af dårlig SSL-certifikatverifikation til at opfange ASP'er som en del af en mand-i- det midterste angreb.
Mens Googles rettelser løser de fundne problemer, "ville vi meget gerne se Google implementere nogle midler til yderligere at begrænse privilegierne for individuelle ASP'er, " skrev Goodman.
For at se alle indlæg fra vores RSA-dækning, tjek vores side Vis rapporter.
