Programspecifika lösenord försvagar Googles tvåfaktorsautentisering, säger forskare

Forskare från tvåfaktors autentiseringsleverantör Duo Security fann ett kryphål i Googles autentiseringssystem som gjorde det möjligt för dem att kringgå företagets 2-stegs inloggningsverifiering genom att missbruka de unika lösenord som används för att ansluta enskilda applikationer till Google-konton.

Enligt Duo Security-forskarna fastställde Google felet den 21 februari, men incidenten framhäver det faktum att Googles programspecifika lösenord inte tillhandahåller granulär kontroll över kontodata.

När det är aktiverat kräver Googles 2-stegs verifieringssystem inmatning av unika koder i addio n till kontos vanliga lösenord för att logga in. Det här är utformat för att förhindra att konton kapras även när lösenordet äventyras. De unika koderna kan antingen tas emot på ett telefonnummer som är kopplat till kontot eller kan genereras med ett smartphone-program.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Endast tvåstegsverifiering fungerar när du loggar in via Googles webbplats. För att tillgodose e-postklienter för skrivbord, chattprogram, kalenderapplikationer och så vidare införde Google begreppet applikationsspecifika lösenord (ASP). Dessa är slumpmässigt genererade lösenord som tillåter applikationer att komma åt kontot utan att behöva en andra autentiseringsfaktor. ASP: er kan återkallas när som helst utan att ändra kontoens huvudlösenord.

Problemet är att "ASP: er - i fråga om verkställighet - inte egentligen tillämpningsspecifik alls!" Duo Security forskarna sa måndag i ett blogginlägg. "Om du skapar en ASP för användning i (till exempel) en XMPP chattklient kan samma ASP också användas för att läsa din e-post via IMAP, eller ta dina kalenderhändelser med CalDAV."

Forskarna fann en fel i automatisk inloggningsmekanism som implementerades i Chrome i de senaste versionerna av Android som gjorde det möjligt för dem att använda en ASP för att få åtkomst till ett Google-kontoets återställning och 2-stegs verifiering.

Felet kunde i princip ha tillåtit en angripare som stal en ASP för ett Google-konto för att ändra mobilnummeret och återställningsadressen som är kopplad till det kontot eller till och med inaktivera 2-stegs verifiering helt och hållet.

"Endast ett användarnamn, en ASP och en enda begäran till //android.clients.google.com/auth, vi kan logga in på någon Google-webbhotell utan någon inloggningsprompning (eller tvåstegsverifiering)! " Duo Security forskarna sa. "Det här är inte längre fallet från och med 21 februari när Google-ingenjörer drev en fix för att stänga detta smutthål."

Förutom att lösa problemet förändrade Google också meddelandet som visas efter att ha skapat ett programspecifikt lösenord i ordning att varna användare att "detta lösenord ger fullständig åtkomst till ditt Google-konto."

"Vi tycker att det är ett ganska viktigt hål i ett starkt autentiseringssystem om en användare fortfarande har någon form av" lösenord "som är tillräckligt för att ta över hela kontroll av hans konto ", sade Duo Security forskarna. "Men vi är fortfarande övertygade om att - även innan de rullade ut deras fix-möjliggör Googles 2-stegs verifiering var otvetydigt bättre än att inte göra det."

Således skulle forskarna vilja se Google implementera någon form av mekanism liknar OAuth-symboler som skulle kunna begränsa privilegierna för varje enskilt applikationsspecifik lösenord.

Google svarade inte omedelbart på en begäran om kommentar om denna fel eller möjliga planer för att implementera mer granulär kontroll för applikationsspecifika lösenord i framtiden.