Google исправила уязвимость в системе двухфакторной аутентификации

Как сообщают исследователи компании Duo Security, злоумышленники обнаружили легкий способ обхода двухфакторной аутентификации при авторизации пользователей сервисов Google, используя пароли пользователей для доступа к приложениям (Application-Specific Passwords, ASP).

«Для того чтобы внедрить двухфакторную аутентификацию для всех своих пользователей, разработчикам Google пришлось пойти на ряд компромиссов. В частности – вместе с технологией появилась возможность создания отдельных ASP, - отмечает эксперт Duo Security Адам Гудман (Adam Goodman). – Так, пользователю приходится создавать и использовать ASP для каждого отдельного приложения, которое не поддерживает двухфакторную аутентификацию - Adium, Apple Mail, Thunderbird, iCal и др».

Однако, проблемой ASP стало то, что пароль не ограничивает доступ пользователя только одним приложением. «На самом деле, ASP может использоваться для входа почти в любые web-настройки учетной записи в Google, а также для доступа к привилегированным интерфейсам, обходя, таким образом, двухфакторную аутентификацию», - заявляет Гудман.

Кроме того, по словам эксперта, заполучить ASP пользователя хакерам не составит огромного труда.

Исследователи Duo Security сообщили, что в ходе исследования механизма автоматической авторизации в Android, была обнаружена возможность использования этого механизма не только на Android-устройствах. Они внедрили специальный инструмент для перехвата трафика между устройством и сервером Google, потом проанализировали ответ, полученный от сервера, и установили, что параметр «зашифрованный пароль» является зашифрованным ASP, использование которого позволяет получить полный доступ к учетной записи.

«Используя логин пользователя, ASP и простой запрос к https://android.clients.google.com/auth , можно авторизоваться в любой учетной записи в Google, без введения учетных данных», - сообщили эксперты.