Google виправила уразливість в системі двофакторної аутентифікації

admin Новини ІТ-безпеки

Google виправила уразливість в системі двофакторної аутентифікаціїУразливість дозволяла зловмисникам обійти функцію двофакторної аутентифікації і скомпрометувати дані користувачів.

Як повідомляють дослідники компанії Duo Security, зловмисники виявили легкий спосіб обходу двофакторної аутентифікації при авторизації користувачів сервісів Google, використовуючи паролі користувачів для доступу до додатків (Application-Specific Passwords, ASP).

«Для того щоб впровадити двухфакторну аутентифікацію для всіх своїх користувачів, розробникам Google довелося піти на ряд компромісів. Зокрема - разом з технологією з'явилася можливість створення окремих ASP, - відзначає експерт Duo Security Адам Гудман (Adam Goodman). - Так, користувачеві доводиться створювати і використовувати ASP для кожного окремого додатка, який не підтримує двухфакторну аутентифікацію - Adium, Apple Mail, Thunderbird, iCal і інше».

Однак, проблемою ASP стало те, що пароль не обмежує доступ користувача тільки одним додатком. «Насправді, ASP може використовуватися для входу в web-налаштування облікового запису в Google, а також для доступу до привілейованих інтерфейсів, обходячи, таким чином, двухфакторну аутентифікацію», - заявляє Гудман.

Крім того, за словами експерта, роздобути ASP користувача хакерам не важко.

Дослідники Duo Security повідомили, що в ході дослідження механізму автоматичної авторизації в Android, була виявлена ​​можливість використання цього механізму не тільки на Android-пристроях. Вони запровадили спеціальний інструмент для перехоплення трафіку між пристроєм і сервером Google, потім проаналізували відповідь, отриману від сервера, і встановили, що параметр «зашифрований пароль» є зашифрованим ASP, використання якого дозволяє одержати повний доступ до облікового запису.

«Використовуючи логін користувача, ASP і простий запит до https://android.clients.google.com/auth, можна авторизуватися в будь-якому обліковому запису в Google, без введення облікових даних», - повідомили експерти.