Ερευνητές ασφαλείας από την Duo Security εντόπισαν έναν τρόπο να παρακάμψουν το σύστημα ταυτοποίησης δύο παραγόντων της Google και να αλλάξουν τον κύριο κωδικό πρόσβασης ενός χρήστη εκμεταλλευόμενοι το application-specific password (ASP)
Η Google απαιτεί από τους χρήστες να δημιουργήσουν ASPs για εφαρμογές που δεν υποστηρίζουν τα δύο στάδια ελέγχου, όπως το ηλεκτρονικό ταχυδρομείο σε clients, ή εφαρμογές τηλεφώνου.
“Εάν δημιουργήσετε ένα ASP για να το χρησιμοποιήσετε για παράδειγμα σε ένα XMPP chat client, το ίδιο ASP μπορεί επίσης να χρησιμοποιηθεί για να διαβάσετε τα e-mail σας, ή να δείτε τα γεγονότα που έχετε προγραμματίσει στο ημερολογίου σας με CalDAV,” αναφέρει ο Adam Goodman της Duo Security.
«Όπως αποδεικνύεται, με τα ASPs μπορούμε να κάνουμε πολλά, πολύ περισσότερα από το να έχουμε πρόσβαση στα e-mail των θυμάτων. Στην πραγματικότητα, ένα ASP μπορεί να χρησιμοποιηθεί για να συνδεθείτε σε σχεδόν οποιαδήποτε από τις υπηρεσίες ιστού της Google και να έχετε πρόσβαση σε προνομιακές διεπαφές, με τρόπο που τα 2-βήματα επαλήθευσης παρακάμπτονται! ” πρόσθεσε ο Goodman.
Ξεκινώντας με κάποια έρευνα που διεξήχθη από τον Nikolay Elenkov, οι ειδικοί ήταν σε θέση να καταφέρουν να συνδεθούν σε οποιαδήποτε υπηρεσία της Google με το όνομα χρήστη, το ASP και ένα αίτημα που έκαναν για το android.clients.google.com/auth.
Σύμφωνα με τους ειδικούς, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το ASP του θύματος για να έχει πρόσβαση στη σελίδα με τις επιλογές του “ανάκτηση λογαριασμού” και να αλλάξει τον κύριο κωδικό πρόσβασης, ή να απενεργοποιήσει εντελώς την επαλήθευση 2 βημάτων της Google, αφού θα είχε πλήρη πρόσβαση στον λογαριασμό του θύματος.
Αξίζει να σημειωθεί ότι τα ASPs που δημιουργούνται από την Google δεν απαιτούν από τους χρήστες να τα θυμούνται καθώς σαν κωδικοί είναι αρκετά περίπλοκοι, έτσι δεν είναι εύκολο για τους εγκληματίες του κυβερνοχώρου να τα αποκτήσουν μέσω επιθέσεων phishing. Από την άλλη πλευρά, οι κωδικοί πρόσβασης συχνά αποθηκεύονται σαν plaintext σε τοπικά αρχεία, πράγμα που σημαίνει ότι είναι σε κίνδυνο αν ένα κακόβουλο λογισμικό εισέλθει στον υπολογιστή.
Οι τεχνικές λεπτομέρειες αυτής της ευπάθειας είναι διαθέσιμες στο blog της Duo Security.
