Video: Реклама подобрана на основе следующей информации: (November 2024)
SAN FRANCISCO - Onderzoekers konden applicatiespecifieke wachtwoorden gebruiken om de tweefactorauthenticatie van Google te omzeilen en volledige controle te krijgen over het Gmail-account van een gebruiker.
De RSA Security Conference 2013 begint morgenochtend serieus, maar veel van de aanwezigen liepen al rond in het Moscone Center in San Francisco om gesprekken te voeren op de Cloud Security Alliance Summit en het Trusted Computing Group Panel. Anderen kwamen in gesprek over een breed assortiment van beveiligingsgerelateerde onderwerpen met andere aanwezigen. Het bericht van vanochtend van Duo Security over hoe onderzoekers een manier hadden gevonden om de tweefactorauthenticatie van Google te omzeilen, was vanmorgen een veel voorkomend onderwerp van discussie.
Google staat gebruikers toe om tweefactorauthenticatie in hun Gmail-account in te schakelen voor betere beveiliging en speciale toegangstokens te genereren voor applicaties die tweestapsverificatie niet ondersteunen. Onderzoekers van Duo Security hebben een manier gevonden om die speciale tokens te misbruiken om het tweefactorenproces volledig te omzeilen, schreef Adam Goodman, hoofdveiligheidsingenieur bij Duo Security. Duo Security heeft Google op de hoogte gebracht van de problemen en het bedrijf heeft 'enkele wijzigingen doorgevoerd om de ernstigste bedreigingen te verminderen', schreef Goodman.
"We denken dat het een behoorlijk groot gat is in een sterk authenticatiesysteem als een gebruiker nog steeds een vorm van 'wachtwoord' heeft die voldoende is om de volledige controle over zijn account over te nemen, " schreef Goodman.
Hij zei echter ook dat tweefactorauthenticatie, zelfs met deze fout, "ondubbelzinnig beter" was dan alleen vertrouwen op een normale combinatie van gebruikersnaam en wachtwoord.
Het probleem met ASP's
Tweefactorauthenticatie is een goede manier om gebruikersaccounts te beveiligen, omdat het iets vereist dat u weet (het wachtwoord) en iets dat u hebt (een mobiel apparaat om de speciale code te krijgen). Gebruikers die two-factor in hun Google-account hebben ingeschakeld, moeten hun normale inloggegevens invoeren en vervolgens het speciale eenmalige wachtwoord dat op hun mobiele apparaat wordt weergegeven. Het speciale wachtwoord kan worden gegenereerd door een app op het mobiele apparaat of verzonden via een sms-bericht en is apparaatspecifiek. Dit betekent dat de gebruiker zich geen zorgen hoeft te maken over het genereren van een nieuwe code telkens wanneer hij inlogt, maar telkens wanneer hij inlogt vanaf een nieuw apparaat. Voor extra beveiliging verloopt de authenticatiecode echter elke 30 dagen.
Geweldig idee en implementatie, maar Google moest 'een paar compromissen' sluiten, zoals applicatiespecifieke wachtwoorden, zodat gebruikers nog steeds applicaties konden gebruiken die tweestapsverificatie niet ondersteunen, merkte Goodman op. ASP's zijn gespecialiseerde tokens die worden gegenereerd voor elke toepassing (vandaar de naam) die gebruikers invoeren in plaats van de combinatie wachtwoord / token. Gebruikers kunnen ASP's gebruiken voor e-mailclients zoals Mozilla Thunderbird, chatclients zoals Pidgin en agendatoepassingen. Oudere Android-versies ondersteunen ook geen tweestaps, dus gebruikers moesten ASP's gebruiken om in te loggen op oudere telefoons en tablets. Gebruikers kunnen ook de toegang tot hun Google-account intrekken door de ASP van die applicatie uit te schakelen.
Duo Security ontdekte dat ASP's tenslotte niet applicatiespecifiek waren en meer konden doen dan alleen e-mail ophalen via het IMAP-protocol of agenda-afspraken met CalDev. Eén code kan zelfs worden gebruikt om in te loggen bij bijna alle webeigenschappen van Google, dankzij een nieuwe functie voor automatisch inloggen die is geïntroduceerd in recente Android- en Chrome OS-versies. Met automatisch inloggen konden gebruikers die hun mobiele apparaten of Chromebooks aan hun Google-accounts hebben gekoppeld, automatisch toegang krijgen tot alle Google-gerelateerde pagina's op het web zonder ooit een andere inlogpagina te zien.
Met die ASP kan iemand rechtstreeks naar de "Accountherstelpagina" gaan en e-mailadressen en telefoonnummers bewerken waar berichten met wachtwoordherstel worden verzonden.
"Dit was genoeg voor ons om ons te realiseren dat ASP's een aantal verrassend ernstige beveiligingsbedreigingen vormden, " zei Goodman.
Duo Security heeft een ASP onderschept door verzoeken te analyseren die van een Android-apparaat naar Google-servers zijn verzonden. Hoewel een phishing-schema om ASP's te onderscheppen waarschijnlijk een laag succespercentage zou hebben, speculeerde Duo Security dat malware zou kunnen worden ontworpen om ASP's die op het apparaat zijn opgeslagen te extraheren of te profiteren van slechte SSL-certificaatverificatie om ASP's te onderscheppen als onderdeel van een man-in de middelste aanval.
Hoewel de oplossingen van Google de gevonden problemen aanpakken, "zouden we graag zien dat Google een aantal middelen implementeert om de privileges van individuele ASP's verder te beperken", schreef Goodman.
Ga naar onze pagina Rapporten weergeven om alle berichten van onze RSA-dekking te zien.
