Kata laluan khusus aplikasi melemahkan pengesahan dua faktor Google, penyelidik mengatakan

Penyelidik dari penyedia pengesahan dua faktor Duo Security mendapati kelemahan dalam sistem pengesahan Google yang membolehkan mereka memintas pengesahan log masuk 2 langkah syarikat dengan menyalahgunakan kata laluan unik yang digunakan untuk menyambungkan aplikasi individu ke akaun Google.

Menurut para penyelidik Duo Security, Google menetapkan cacat pada 21 Feb, namun kejadian ini menyoroti hakikat bahawa kata laluan khusus aplikasi Google tidak memberikan butiran kawalan ke atas data akaun.

Apabila diaktifkan, sistem pengesahan 2 langkah Google memerlukan input kod unik dalam additio n ke kata laluan tetap akaun untuk log masuk. Ini direka untuk menghalang akaun daripada dirampas walaupun kata laluan dikompromikan. Kod unik boleh sama ada diterima di nombor telefon yang dikaitkan dengan akaun atau boleh dijana menggunakan aplikasi telefon pintar.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Namun, pengesahan 2 langkah sahaja berfungsi semasa melog masuk melalui laman Google. Untuk menampung klien e-mel desktop, program sembang, aplikasi kalendar dan sebagainya, Google memperkenalkan konsep kata laluan khusus aplikasi (ASP). Ini adalah kata laluan yang dijana secara rawak yang membolehkan aplikasi mengakses akaun tanpa memerlukan faktor pengesahan yang kedua. ASP boleh dibatalkan pada bila-bila masa tanpa menukar kata laluan utama akaun.

Masalahnya ialah, "ASP adalah dari segi penguatkuasaan - sebenarnya bukan khusus aplikasi!" penyelidik Duo Security berkata Isnin dalam catatan blog. "Jika anda membuat ASP untuk digunakan dalam (contohnya) klien perbualan XMPP, ASP yang sama juga boleh digunakan untuk membaca e-mel anda melalui IMAP, atau merebut acara kalendar anda dengan CalDAV."

Para penyelidik mendapati kecacatan mekanisme masuk secara automatik yang dilaksanakan di Chrome dalam versi terbaru Android yang membolehkan mereka menggunakan ASP untuk mendapatkan akses ke pemulihan akaun Google dan tetapan pengesahan 2-langkah.

Pada dasarnya, cacat itu boleh membenarkan penyerang yang mencuri ASP untuk akaun Google untuk menukar nombor telefon mudah alih dan alamat e-mel pemulihan yang dikaitkan dengan akaun itu atau bahkan melumpuhkan pengesahan 2-langkah sama sekali.

"Memandangkan tiada nama pengguna, ASP, dan satu permintaan untuk //android.clients.google.com/auth, kita boleh melog masuk ke sebarang laman web Google tanpa sebarang log masuk (atau pengesahan 2 langkah)! " penyelidik Duo Security berkata. "Ini bukan lagi kes pada 21 Februari, apabila jurutera Google menolak pembetulan untuk menutup celah ini."

Di samping memperbaiki masalah ini, Google nampaknya juga mengubah mesej yang dipaparkan selepas menghasilkan kata laluan khusus aplikasi supaya untuk memberi amaran kepada pengguna bahawa "kata laluan ini memberikan akses lengkap ke Akaun Google anda."

"Kami fikir ia adalah lubang yang agak ketara dalam sistem pengesahan yang kuat jika pengguna masih mempunyai beberapa bentuk 'kata laluan' yang mencukupi untuk mengambil alih penuh mengawal akaunnya, "kata penyelidik Duo Security. "Bagaimanapun, kami masih yakin bahawa walaupun sebelum mengeluarkan pengesahan mereka yang membolehkan pengesahan 2-langkah Google itu benar-benar lebih baik daripada tidak berbuat demikian."

Dengan kata lain, para penyelidik ingin melihat Google melaksanakan beberapa jenis mekanisme sama dengan token OAuth yang akan membenarkan menyekat keistimewaan setiap kata laluan khusus setiap pengguna.

Google tidak segera bertindak balas kepada permintaan untuk memberi komen mengenai kecacatan ini atau kemungkinan rancangan untuk melaksanakan lebih banyak kawalan berbutiran untuk kata laluan khusus aplikasi di masa depan.