באג אימות דו-גורמי של גוגל איפשר חטיפת חשבונות

SAN FRANCISCO - החוקרים הצליחו להשתמש בסיסמאות ספציפיות ליישום כדי לעקוף את האימות הדו-גורמי של גוגל ולקבל שליטה מלאה על חשבון Gmail של המשתמש.

ועידת האבטחה RSA לשנת 2013 מתחילה ברצינות מחר בבוקר, אך רבים מהנוכחים בוועידה כבר הסתובבו במרכז מוסקונה של סן פרנסיסקו כדי לנהל שיחות בפסגת ברית הביטחון בענן ובפאנל קבוצת המחשוב המהימן. אחרים ערכו שיחות על מגוון רחב של נושאים הקשורים לאבטחה עם משתתפים אחרים. הפוסט שפורסם הבוקר מאת Duo Security על האופן בו החוקרים מצאו דרך לעקוף את האימות הדו-גורמי של גוגל היה נושא דיון נפוץ הבוקר.

גוגל מאפשרת למשתמשים להפעיל אימות דו-גורמי בחשבון ה- Gmail שלהם לצורך אבטחה חזקה יותר וליצור אסימוני גישה מיוחדים ליישומים שאינם תומכים באימות דו-שלבי. חוקרים ב- Duo Security מצאו דרך להתעלל באסימונים המיוחדים הללו כדי לעקוף לחלוטין את התהליך עם שני הגורמים, כתב אדם גודמן, מהנדס האבטחה הראשי בחברת Duo Security. דואו אבטחה הודיע ​​לגוגל על ​​הנושאים, והחברה "ביצעה שינויים מסוימים כדי להקל על האיומים החמורים ביותר", כתב גודמן.

"אנו חושבים שזה חור די משמעותי במערכת אימות חזקה אם למשתמש עדיין יש צורה כלשהי של 'סיסמא' המספיקה כדי להשתלט על שליטה מלאה בחשבונו, " כתב גודמן.

עם זאת, הוא אמר גם כי אימות דו-גורמי, אפילו עם הפגם הזה, היה "טוב יותר באופן חד משמעי" מאשר להסתמך על שילוב רגיל של שם משתמש / סיסמא.

הבעיה עם ASPs

אימות דו-גורמי הוא דרך טובה לאבטח חשבונות משתמשים, מכיוון שהוא דורש משהו שאתה יודע (הסיסמה) ומשהו שיש לך (מכשיר נייד כדי לקבל את הקוד המיוחד). משתמשים שהפעילו שני גורמים בחשבונות גוגל שלהם צריכים להזין את אישורי הכניסה הרגילים שלהם ואז את הסיסמה המיוחדת לשימוש חד פעמי המוצגת במכשיר הנייד שלהם. הסיסמה המיוחדת עשויה להיווצר על ידי אפליקציה במכשיר הנייד או להישלח באמצעות הודעת SMS והיא ספציפית למכשיר. משמעות הדבר היא שהמשתמש אינו צריך לדאוג לייצר קוד חדש בכל פעם שהוא נכנס, אלא בכל פעם שהוא נכנס למכשיר חדש. עם זאת, לצורך אבטחה נוספת, קוד האימות יפוג כל 30 יום.

גודמן ציין רעיון טוב מאוד ליישום, אך גוגל נאלצה לערוך "כמה פשרות", כגון סיסמאות ספציפיות ליישום, כך שמשתמשים עדיין יוכלו להשתמש ביישומים שאינם תומכים באימות דו-שלבי. ASPs הם אסימונים ייעודיים המיוצרים עבור כל יישום (ומכאן השם) שמשתמשים מזינים במקום שילוב הסיסמה / אסימון. משתמשים יכולים להשתמש ב- ASPs עבור לקוחות דוא"ל כמו Mozilla Thunderbird, לקוחות צ'אט כמו Pidgin ויישומי לוח שנה. גרסאות אנדרואיד ישנות יותר גם אינן תומכות בשני שלבים, ולכן המשתמשים נאלצו להשתמש ב- ASPs כדי להיכנס לטלפונים וטאבלטים ישנים. משתמשים יכולים גם לבטל את הגישה לחשבון Google שלהם על ידי השבתת ה- ASP של היישום.

Duo Security גילה ש- ASPs למעשה לא היו ספציפיים ליישום, ויכולים לעשות יותר מאשר רק לתפוס דוא"ל בפרוטוקול IMAP או אירועי לוח השנה באמצעות CalDev. למעשה, ניתן להשתמש בקוד אחד בכדי להתחבר כמעט לכל אחד ממאפייני האינטרנט של גוגל בזכות תכונה חדשה של "התחברות אוטומטית" שהוצגה בגרסאות ההפעלה האחרונות של אנדרואיד וכרום. כניסה אוטומטית אפשרה למשתמשים שקושרו את המכשירים הניידים שלהם או את מכשירי ה- Chromebook לחשבונות Google שלהם לגשת אוטומטית לכל הדפים הקשורים ל- Google באינטרנט מבלי שהם יראו דף התחברות אחר.

באמצעות ASP זה, מישהו יכול לעבור ישירות אל "דף שחזור החשבון" ולערוך כתובות דוא"ל ומספרי טלפון שאליהם נשלחות הודעות איפוס סיסמה.

"זה הספיק כדי להבין ש- ASPs הציגו כמה איומי ביטחון חמורים באופן מפתיע, " אמר גודמן.

Duo Security יירט ASP על ידי ניתוח בקשות שנשלחו ממכשיר אנדרואיד לשרתי גוגל. בעוד שתכנית דיוג ליירוט ASPs עשויה להיות בעלת הצלחה נמוכה, Duo Security העלה השערה כי תוכנה זדונית יכולה להיות מתוכננת כדי לחלץ ASPs המאוחסנים במכשיר או לנצל את אימות אישור ה- SSL לקוי כדי ליירט ASPs כחלק מאיש-איש- ההתקפה האמצעית.

בעוד שהתיקונים של גוגל מטפלים בבעיות שנמצאו, "נשמח לראות שגוגל מיישמת אמצעים מסוימים להגבלת הרשאותיהם של ASPs בודדים", כתב גודמן.

כדי לראות את כל הפוסטים מכיסוי ה- RSA שלנו, עיין בדף הצג דוחות.