Пароли, специфичные для приложения, ослабили двухфакторную аутентификацию Google, говорят исследователи

Исследователи двухфакторной аутентификации Duo Security обнаружили лазейку в системе аутентификации Google, которая позволила им обойти двухэтапную аутентификацию входа в компанию злоупотребляя уникальными паролями, используемыми для подключения отдельных приложений к учетным записям Google.

Согласно исследователям Duo Security, Google зафиксировала ошибку 21 февраля, но инцидент подчеркивает тот факт, что пароли приложений, специфичные для Google, не предоставляют подробные контроль над данными учетной записи.

Когда эта функция включена, двухэтапная система проверки Google требует ввода уникальных кодов в additio n для обычного пароля учетной записи для входа в систему. Это предназначено для предотвращения захвата учетных записей, даже когда пароль скомпрометирован. Уникальные коды могут быть получены по номеру телефона, связанному с учетной записью, или могут быть сгенерированы с помощью приложения для смартфонов.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Однако только для двухэтапной аутентификации работает при входе в систему через сайт Google. Чтобы разместить настольные почтовые клиенты, чат-программы, приложения календаря и т. Д., Google представил концепцию паролей приложений (ASP). Это произвольно генерируемые пароли, которые позволяют приложениям получать доступ к учетной записи без необходимости второго коэффициента аутентификации. ASP могут быть отменены в любое время без изменения основного пароля учетной записи.

Проблема заключается в том, что «ASP-приложения - это принудительное исполнение, а не приложение вообще». исследователи Duo Security заявили в понедельник в блоге. «Если вы создаете ASP для использования в (например) клиенте XMPP-чата, тот же ASP также может использоваться для чтения вашей электронной почты по протоколу IMAP или для захвата ваших событий календаря с помощью CalDAV.»

Исследователи обнаружили ошибку в механизм автоматического входа в систему, реализованный в Chrome в последних версиях Android, который позволил им использовать ASP для доступа к восстановлению учетной записи Google и двухэтапным параметрам проверки.

По сути, недостаток мог позволить злоумышленнику, который украл ASP для учетной записи Google, чтобы изменить номер мобильного телефона и адрес электронной почты для восстановления, связанный с этой учетной записью, или даже полностью отключить двухэтапную аутентификацию.

«Дано ничего, кроме имени пользователя, ASP и одного запроса на //android.clients.google.com/auth, мы можем войти в любой веб-ресурс Google без приглашения на вход (или двухэтапная аутентификация)! " сказали исследователи Duo Security. «Это уже не так с 21 февраля, когда инженеры Google подтолкнули исправление, чтобы закрыть эту лазейку».

В дополнение к устранению проблемы Google, по-видимому, также изменил сообщение, отображаемое после генерации пароля для приложения, чтобы чтобы предупредить пользователей о том, что «этот пароль предоставляет полный доступ к вашей учетной записи Google».

«Мы считаем, что это довольно значительная дыра в сильной системе аутентификации, если у пользователя по-прежнему есть некоторая форма« пароля », которая достаточна для полной контроль над его учетной записью », - сказали исследователи Duo Security. «Тем не менее, мы по-прежнему уверены в том, что даже после того, как вы завершили свою двухэтапную аутентификацию с помощью исправления, она была недвусмысленно лучше, чем не делать этого».

Тем самым исследователи хотели бы, чтобы Google реализовал какой-то механизм аналогично токенам OAuth, которые позволяли бы ограничивать привилегии каждого отдельного пароля, специфичного для приложения.

Google не сразу ответил на запрос о комментариях об этом недостатке или возможных планах по внедрению более подробного управления паролями приложений в будущем.