Video: Cáºu bé nghèo Äược lắp chân giả sau 17 nÄm bò bằng Äầu gá»i (Tháng Chín 2024)
SAN FRANCISCO - Các nhà nghiên cứu đã có thể sử dụng mật khẩu dành riêng cho ứng dụng để vượt qua xác thực hai yếu tố của Google và giành toàn quyền kiểm soát tài khoản Gmail của người dùng.
Hội nghị Bảo mật RSA 2013 bắt đầu một cách nghiêm túc vào sáng mai, nhưng nhiều người tham dự hội nghị đã lảng vảng ở Trung tâm Moscone của San Francisco để tham gia các cuộc hội đàm tại Hội nghị thượng đỉnh Liên minh an ninh đám mây và Hội đồng nhóm tin cậy. Những người khác bắt đầu cuộc trò chuyện về một loạt các chủ đề liên quan đến an ninh với những người tham dự khác. Bài đăng sáng nay từ Duo Security về cách các nhà nghiên cứu tìm ra cách vượt qua xác thực hai yếu tố của Google là một chủ đề thảo luận phổ biến sáng nay.
Google cho phép người dùng bật xác thực hai yếu tố trên tài khoản Gmail của họ để bảo mật mạnh hơn và tạo mã thông báo truy cập đặc biệt cho các ứng dụng không hỗ trợ xác minh hai bước. Các nhà nghiên cứu tại Duo Security đã tìm ra cách lạm dụng các mã thông báo đặc biệt đó để phá vỡ hoàn toàn quy trình hai yếu tố, Adam Goodman, kỹ sư bảo mật chính của Duo Security, viết. Duo Security đã thông báo cho Google về các vấn đề và công ty đã "thực hiện một số thay đổi để giảm thiểu các mối đe dọa nghiêm trọng nhất", Goodman viết.
"Chúng tôi nghĩ rằng đó là một lỗ hổng khá quan trọng trong một hệ thống xác thực mạnh nếu người dùng vẫn có một số dạng 'mật khẩu' đủ để chiếm toàn quyền kiểm soát tài khoản của anh ta, " Goodman viết.
Tuy nhiên, ông cũng nói rằng việc xác thực hai yếu tố, ngay cả với lỗ hổng này, là "tốt hơn rõ rệt" so với việc chỉ dựa vào kết hợp tên người dùng / mật khẩu thông thường.
Vấn đề với ASP
Xác thực hai yếu tố là một cách tốt để bảo mật tài khoản người dùng, vì nó yêu cầu thứ bạn biết (mật khẩu) và thứ bạn có (một thiết bị di động để lấy mã đặc biệt). Người dùng đã bật hai yếu tố trên tài khoản Google của họ cần nhập thông tin đăng nhập thông thường và sau đó mật khẩu sử dụng một lần đặc biệt được hiển thị trên thiết bị di động của họ. Mật khẩu đặc biệt có thể được tạo bởi một ứng dụng trên thiết bị di động hoặc được gửi qua tin nhắn SMS và là thiết bị cụ thể. Điều này có nghĩa là người dùng không cần phải lo lắng về việc tạo mã mới mỗi lần họ đăng nhập, nhưng mỗi lần họ đăng nhập từ một thiết bị mới. Tuy nhiên, để bảo mật hơn, mã xác thực sẽ hết hạn sau mỗi 30 ngày.
Ý tưởng và triển khai tuyệt vời, nhưng Google phải thực hiện "một vài thỏa hiệp", chẳng hạn như mật khẩu dành riêng cho ứng dụng, để người dùng vẫn có thể sử dụng các ứng dụng không hỗ trợ xác minh hai bước, Goodman lưu ý. ASP là các mã thông báo chuyên dụng được tạo cho mỗi ứng dụng (do đó là tên) mà người dùng nhập thay cho tổ hợp mật khẩu / mã thông báo. Người dùng có thể sử dụng ASP cho các ứng dụng email như Mozilla Thunderbird, ứng dụng trò chuyện khách như Pidgin và ứng dụng lịch. Các phiên bản Android cũ hơn cũng không hỗ trợ hai bước, vì vậy người dùng phải sử dụng ASP để đăng nhập vào điện thoại và máy tính bảng cũ. Người dùng cũng có thể thu hồi quyền truy cập vào tài khoản Google của họ bằng cách vô hiệu hóa ASP của ứng dụng đó.
Duo Security đã phát hiện ra rằng, thực tế, các ASP không phải là ứng dụng cụ thể, và có thể làm được nhiều thứ hơn là chỉ lấy email qua giao thức IMAP hoặc các sự kiện lịch bằng CalDev. Trên thực tế, một mã có thể được sử dụng để đăng nhập vào hầu hết các thuộc tính Web của Google nhờ tính năng "đăng nhập tự động" mới được giới thiệu trong các phiên bản Android và Chrome OS gần đây. Tự động đăng nhập cho phép người dùng đã liên kết các thiết bị di động hoặc Chromebook của họ với tài khoản Google của họ để tự động truy cập tất cả các trang liên quan đến Google trên Web mà không cần nhìn thấy trang đăng nhập khác.
Với bản ASP đó, ai đó có thể truy cập thẳng vào trang khôi phục tài khoản trên mạng và chỉnh sửa địa chỉ email và số điện thoại nơi gửi tin nhắn đặt lại mật khẩu.
"Điều này là đủ để chúng tôi nhận ra rằng các ASP đã đưa ra một số mối đe dọa bảo mật nghiêm trọng đáng ngạc nhiên", Goodman nói.
Duo Security đã chặn một ASP bằng cách phân tích các yêu cầu được gửi từ thiết bị Android đến các máy chủ của Google. Mặc dù kế hoạch lừa đảo để chặn các ASP có thể có tỷ lệ thành công thấp, Duo Security đã suy đoán rằng phần mềm độc hại có thể được thiết kế để trích xuất các ASP được lưu trữ trên thiết bị hoặc lợi dụng xác minh chứng chỉ SSL kém để chặn các ASP như một phần của người đàn ông cuộc tấn công giữa.
Trong khi các bản sửa lỗi của Google giải quyết các vấn đề được tìm thấy, "chúng tôi rất muốn thấy Google triển khai một số phương tiện để hạn chế hơn nữa các đặc quyền của các ASP riêng lẻ", Goodman viết.
Để xem tất cả các bài đăng từ phạm vi bảo hiểm RSA của chúng tôi, hãy xem trang Hiển thị Báo cáo của chúng tôi.
