Vídeo: Gmail: ativando a autenticação em dupla camada/ dois fatores (Novembro 2024)
SAN FRANCISCO - Os pesquisadores conseguiram usar senhas específicas de aplicativos para ignorar a autenticação de dois fatores do Google e obter controle total sobre a conta do Gmail de um usuário.
A RSA Security Conference de 2013 começa muito amanhã de manhã, mas muitos dos participantes da conferência já estavam circulando no Moscone Center de São Francisco para participar de conversações na Cloud Security Alliance Summit e no Painel do Trusted Computing Group. Outros iniciaram conversas sobre uma ampla variedade de tópicos relacionados à segurança com outros participantes. O post desta manhã da Duo Security sobre como os pesquisadores encontraram uma maneira de contornar a autenticação de dois fatores do Google era um tópico comum de discussão nesta manhã.
O Google permite que os usuários ativem a autenticação de dois fatores em sua conta do Gmail para aumentar a segurança e gerar tokens de acesso especiais para aplicativos que não suportam a verificação em duas etapas. Pesquisadores da Duo Security encontraram uma maneira de abusar desses tokens especiais para contornar completamente o processo de dois fatores, escreveu Adam Goodman, principal engenheiro de segurança da Duo Security. A Duo Security notificou o Google sobre os problemas, e a empresa "implementou algumas mudanças para mitigar as ameaças mais graves", escreveu Goodman.
"Achamos que é um buraco bastante significativo em um sistema de autenticação forte se um usuário ainda tiver alguma forma de 'senha' suficiente para assumir o controle total de sua conta", escreveu Goodman.
No entanto, ele também disse que ter autenticação de dois fatores, mesmo com essa falha, era "inequivocamente melhor" do que depender apenas de uma combinação normal de nome de usuário / senha.
O problema com ASPs
A autenticação de dois fatores é uma boa maneira de proteger contas de usuário, pois requer algo que você sabe (a senha) e algo que você tem (um dispositivo móvel para obter o código especial). Os usuários que ativaram dois fatores em suas contas do Google precisam inserir suas credenciais normais de login e, em seguida, a senha de uso único exibida no dispositivo móvel. A senha especial pode ser gerada por um aplicativo no dispositivo móvel ou enviada via mensagem SMS e é específica do dispositivo. Isso significa que o usuário não precisa se preocupar em gerar um novo código sempre que efetuar login, mas sempre que fizer login em um novo dispositivo. No entanto, para segurança adicional, o código de autenticação expira a cada 30 dias.
Ótima idéia e implementação, mas o Google teve que fazer "alguns compromissos", como senhas específicas de aplicativos, para que os usuários ainda pudessem usar aplicativos que não suportam a verificação em duas etapas, observou Goodman. ASPs são tokens especializados gerados para cada aplicativo (daí o nome) que os usuários inserem no lugar da combinação de senha / token. Os usuários podem usar ASPs para clientes de email, como o Mozilla Thunderbird, clientes de bate-papo, como o Pidgin, e aplicativos de calendário. As versões mais antigas do Android também não oferecem suporte para duas etapas; portanto, os usuários precisavam usar ASPs para entrar em telefones e tablets mais antigos. Os usuários também podem revogar o acesso à sua conta do Google desativando o ASP desse aplicativo.
A Duo Security descobriu que os ASPs, na verdade, não eram específicos de aplicativos, e poderiam fazer mais do que apenas capturar emails sobre o protocolo IMAP ou eventos de calendário usando o CalDev. De fato, um código pode ser usado para fazer login em quase todas as propriedades da Web do Google, graças a um novo recurso de "login automático" introduzido nas versões recentes do Android e Chrome OS. O login automático permitiu que os usuários que vincularam seus dispositivos móveis ou Chromebooks às contas do Google acessassem automaticamente todas as páginas relacionadas ao Google pela Web sem nunca ver outra página de login.
Com esse ASP, alguém poderia ir diretamente para a "Página de recuperação da conta" e editar endereços de email e números de telefone para os quais as mensagens de redefinição de senha são enviadas.
"Isso foi suficiente para percebermos que os ASPs apresentavam ameaças de segurança surpreendentemente sérias", afirmou Goodman.
O Duo Security interceptou um ASP analisando solicitações enviadas de um dispositivo Android para os servidores do Google. Embora um esquema de phishing para interceptar ASPs provavelmente tenha uma baixa taxa de sucesso, a Duo Security especulou que o malware poderia ser projetado para extrair ASPs armazenados no dispositivo ou tirar proveito de uma verificação de certificado SSL ruim para interceptar ASPs como parte de um homem-em-homem. ataque do meio.
Embora as correções do Google resolvam os problemas encontrados, "adoraríamos que o Google implementasse alguns meios para restringir ainda mais os privilégios de ASPs individuais", escreveu Goodman.
Para ver todas as postagens de nossa cobertura da RSA, consulte a página Mostrar relatórios.