Google两因素身份验证错误允许帐户劫持

旧金山-研究人员能够使用应用程序专用密码来绕过Google的两因素身份验证，并完全控制用户的Gmail帐户。

2013年RSA安全会议将于明天早上认真开始，但是许多与会者已经在旧金山的Moscone中心四处走动，以在Cloud Security Alliance Summit和Trusted Computing Group Panel上进行演讲。 其他人则与其他与会者就各种与安全相关的话题进行了对话。 今天上午，来自Duo Security的关于研究人员如何找到一种绕过Google的两因素身份验证的方法的帖子是今天上午讨论的一个常见话题。

Google允许用户在其Gmail帐户上启用两因素身份验证，以增强安全性，并为不支持两步验证的应用程序生成特殊的访问令牌。 Duo Security的首席安全工程师Adam Goodman写道，Duo Security的研究人员发现了一种滥用这些特殊令牌以完全规避两因素过程的方法。 古特曼写道，Duo Security将此问题通知了Google，该公司已“进行了一些更改以缓解最严重的威胁。”

古德曼写道：“如果用户仍然拥有某种形式的“密码”，足以完全控制其帐户，那么，在强大的身份验证系统中，这是一个相当大的漏洞。

但是，他还说，即使存在此缺陷，进行两因素身份验证也比仅仅依靠普通的用户名/密码组合“明显更好”。

ASP的问题

两因素身份验证是保护用户帐户安全的好方法，因为它需要您知道的某些内容（密码）和您拥有的某些内容（移动设备才能获取特殊代码）。 在其Google帐户中启用了双重保护的用户需要输入常规登录凭据，然后在其移动设备上显示特殊的一次性使用密码。 特殊密码可以由移动设备上的应用程序生成，也可以通过SMS消息发送，并且是特定于设备的。 这意味着用户无需每次登录时都担心会生成新代码，而每次从新设备登录时都不必担心会生成新代码。 但是，为了提高安全性，身份验证代码每30天失效一次。

好主意和实现，但是Google必须做出“一些妥协”，例如特定于应用程序的密码，以便用户仍然可以使用不支持两步验证的应用程序。 ASP是为用户输入的每个应用程序生成的专用令牌（因此称为名称），代替了密码/令牌组合。 用户可以将ASP用于电子邮件客户端（例如Mozilla Thunderbird），聊天客户端（例如Pidgin）和日历应用程序。 较旧的Android版本也不支持两步操作，因此用户必须使用ASP才能登录较旧的手机和平板电脑。 用户也可以通过禁用该应用程序的ASP来撤消对其Google帐户的访问权限。

Duo Security毕竟发现ASP实际上不是特定于应用程序的，并且除了通过IMAP协议获取电子邮件或使用CalDev捕获日历事件外，还可以做更多的事情。 实际上，由于最近的Android和Chrome OS版本引入了新的“自动登录”功能，因此可以使用一个代码登录几乎所有Google的Web属性。 自动登录允许将其移动设备或Chromebook链接到其Google帐户的用户通过网络自动访问所有与Google相关的页面，而无需查看其他登录页面。

使用该ASP，某人可以直接转到“帐户恢复页面”并编辑发送密码重置消息的电子邮件地址和电话号码。

古德曼说：“这足以让我们意识到ASP带来了一些出乎意料的严重安全威胁。”

Duo Security通过分析从Android设备发送到Google服务器的请求来拦截ASP。 尽管采用网络钓鱼方案来拦截ASP的成功率可能很低，但Duo Security推测恶意软件可以设计为提取存储在设备上的ASP或利用不良的SSL证书验证来拦截ASP，这是人工干预的一部分。中间攻击。

古德曼写道，尽管Google的修复程序解决了发现的问题，但“我们希望看到Google采取一些手段来进一步限制单个ASP的特权。”

要查看我们RSA报道中的所有帖子，请查看我们的“显示报告”页面。