Video: Love Ka Spin (Kerintha) New Hindi Dubbed Full Movie | Sumanth, Ashwin Viswant | 4K (Oktober 2024)
SAN FRANCISCO - Forskere kunne bruke applikasjonsspesifikke passord for å omgå Googles tofaktorautentisering og få full kontroll over en brukers Gmail-konto.
RSAs sikkerhetskonferanse i 2013 begynner for alvor i morgen, men mange av de fremmøtte møtte allerede i San Francisco Moscone Center for å ta foredrag på Cloud Security Alliance Summit og Trusted Computing Group Panel. Andre slo opp samtaler om et bredt utvalg av sikkerhetsrelaterte temaer med andre deltagere. Formiddagens innlegg fra Duo Security om hvordan forskere hadde funnet en måte å omgå Googles tofaktorautentisering, var et vanlig diskusjonstema i morges.
Google lar brukere slå på tofaktorsgodkjenning på Gmail-kontoen sin for større sikkerhet og generere spesielle tilgangstegn for applikasjoner som ikke støtter totrinnsverifisering. Forskere ved Duo Security fant en måte å misbruke de spesielle symbolene for å omgå tofaktorprosessen fullstendig, skrev Adam Goodman, hoved sikkerhetsingeniør ved Duo Security. Duo Security varslet Google om problemene, og selskapet har "implementert noen endringer for å dempe de alvorligste av truslene, " skrev Goodman.
"Vi synes det er et ganske betydelig hull i et sterkt autentiseringssystem hvis en bruker fortsatt har en form for 'passord' som er tilstrekkelig til å ta over full kontroll over kontoen sin, " skrev Goodman.
Imidlertid sa han også at å ha tofaktorautentisering, selv med denne feilen, var "utvetydig bedre" enn å bare stole på en vanlig brukernavn / passordkombinasjon.
Problemet med ASP-er
To-faktor autentisering er en god måte å sikre brukerkontoer, siden det krever noe du vet (passordet) og noe du har (en mobil enhet for å få den spesielle koden). Brukere som har slått på tofaktorer på Google-kontoene sine, må oppgi sine vanlige innloggingsinformasjon, og deretter det spesielle ettbrukspassordet som vises på mobilenheten. Det spesielle passordet kan genereres av en app på mobilenheten eller sendes via SMS-melding, og er enhetsspesifikk. Dette betyr at brukeren ikke trenger å bekymre seg for å generere en ny kode hver eneste gang de logger seg på, men hver eneste gang de logger inn fra en ny enhet. For ytterligere sikkerhet utløper autentiseringskoden hver 30. dag.
God idé og implementering, men Google måtte lage "noen kompromisser", for eksempel applikasjonsspesifikke passord, slik at brukerne fremdeles kunne bruke applikasjoner som ikke støtter totrinnsverifisering, bemerket Goodman. ASP-er er spesialiserte tokens generert for hvert program (derav navnet) som brukerne oppgir i stedet for passord / token-kombinasjonen. Brukere kan bruke ASP-er for e-postklienter som Mozilla Thunderbird, chat-klienter som Pidgin og kalenderapplikasjoner. Eldre Android-versjoner støtter heller ikke to-trinns, så brukere måtte bruke ASP-er for å logge på eldre telefoner og nettbrett. Brukere kan også tilbakekalle tilgang til Google-kontoen sin ved å deaktivere ASP-applikasjonen.
Duo Security oppdaget at ASP-er tross alt ikke var applikasjonsspesifikke, og kunne gjøre mer enn bare å ta e-post over IMAP-protokollen eller kalenderhendelser ved hjelp av CalDev. Faktisk kan en kode brukes til å logge på nesten hvilken som helst av Googles webegenskaper takket være en ny "automatisk påloggings" -funksjon introdusert i nylige versjoner av Android og Chrome OS. Automatisk pålogging tillot brukere som koblet sine mobile enheter eller Chromebooks til Google-kontoene sine, automatisk tilgang til alle Google-relaterte sider over Internett uten noen gang å se en annen påloggingsside.
Med den ASP-en kan noen gå rett til “Kontogjenoppretting-siden” og redigere e-postadresser og telefonnumre der passord-tilbakestillingsmeldinger sendes.
"Dette var nok til at vi innså at ASP-er presenterte noen overraskende alvorlige sikkerhetstrusler, " sa Goodman.
Duo Security fanget en ASP ved å analysere forespørsler sendt fra en Android-enhet til Google-servere. Mens en phishing-ordning for å avskjære ASP-er sannsynligvis vil ha en lav suksessrate, spekulerte Duo Security at malware kan være designet for å trekke ut ASP-er som er lagret på enheten eller dra nytte av dårlig SSL-sertifikatverifisering for å avskjære ASP-er som en del av en mann-i- midt-angrepet.
Mens Googles rettelser løser problemene som er funnet, "vil vi gjerne se at Google implementerer noen måter for å ytterligere begrense privilegiene til individuelle ASP-er, " skrev Goodman.
Hvis du vil se alle innlegg fra RSA-dekningen, kan du sjekke siden Vis rapporter.
