Video: Verifica in due passaggi: Come rendere l'accesso a Google più sicuro (Settembre 2024)
SAN FRANCISCO - I ricercatori sono stati in grado di utilizzare password specifiche dell'applicazione per bypassare l'autenticazione a due fattori di Google e ottenere il pieno controllo sull'account Gmail di un utente.
La RSA Security Conference del 2013 inizia sul serio domani mattina, ma molti dei partecipanti alla conferenza si stavano già radunando nel Moscone Center di San Francisco per tenere conferenze al Cloud Security Alliance Summit e al Trusted Computing Group Panel. Altri hanno avviato conversazioni su un vasto assortimento di argomenti relativi alla sicurezza con altri partecipanti. Il post di stamattina di Duo Security su come i ricercatori hanno trovato un modo per aggirare l'autenticazione a due fattori di Google è stato un argomento di discussione comune questa mattina.
Google consente agli utenti di attivare l'autenticazione a due fattori sul proprio account Gmail per una maggiore sicurezza e generare token di accesso speciali per le applicazioni che non supportano la verifica in due passaggi. I ricercatori di Duo Security hanno trovato un modo per abusare di quei token speciali per eludere completamente il processo a due fattori, ha scritto Adam Goodman, ingegnere capo della sicurezza di Duo Security. Duo Security ha informato Google dei problemi e la società ha "implementato alcune modifiche per mitigare la più grave delle minacce", ha scritto Goodman.
"Pensiamo che sia un buco piuttosto significativo in un forte sistema di autenticazione se un utente ha ancora una qualche forma di" password "che è sufficiente per assumere il pieno controllo del suo account", ha scritto Goodman.
Tuttavia, ha anche affermato che l'autenticazione a due fattori, anche con questo difetto, era "inequivocabilmente migliore" rispetto al semplice affidamento su una normale combinazione nome utente / password.
Il problema con gli ASP
L'autenticazione a due fattori è un buon modo per proteggere gli account utente, poiché richiede qualcosa che conosci (la password) e qualcosa che hai (un dispositivo mobile per ottenere il codice speciale). Gli utenti che hanno attivato i due fattori sui propri account Google devono inserire le loro normali credenziali di accesso, quindi la speciale password monouso visualizzata sul proprio dispositivo mobile. La password speciale può essere generata da un'app sul dispositivo mobile o inviata tramite messaggio SMS ed è specifica del dispositivo. Ciò significa che l'utente non deve preoccuparsi di generare un nuovo codice ogni volta che accede, ma ogni volta che accede da un nuovo dispositivo. Tuttavia, per maggiore sicurezza, il codice di autenticazione scade ogni 30 giorni.
Ottima idea e implementazione, ma Google ha dovuto fare "alcuni compromessi", come le password specifiche dell'applicazione, in modo che gli utenti possano ancora utilizzare applicazioni che non supportano la verifica in due passaggi, Goodman ha osservato. Gli ASP sono token specializzati generati per ogni applicazione (da qui il nome) che gli utenti inseriscono al posto della combinazione password / token. Gli utenti possono utilizzare ASP per client di posta elettronica come Mozilla Thunderbird, client di chat come Pidgin e applicazioni di calendario. Le versioni precedenti di Android non supportano due passaggi, quindi gli utenti hanno dovuto utilizzare ASP per accedere a telefoni e tablet più vecchi. Gli utenti possono inoltre revocare l'accesso al proprio account Google disabilitando l'ASP di tale applicazione.
Duo Security ha scoperto che gli ASP in realtà non erano specifici dell'applicazione, dopotutto, e potevano fare molto di più che catturare e-mail sul protocollo IMAP o sugli eventi del calendario usando CalDev. In effetti, un codice potrebbe essere utilizzato per accedere a quasi tutte le proprietà Web di Google grazie a una nuova funzione di "accesso automatico" introdotta nelle recenti versioni di Android e Chrome OS. L'accesso automatico ha consentito agli utenti che hanno collegato i propri dispositivi mobili o Chromebook ai propri account Google di accedere automaticamente a tutte le pagine relative a Google sul Web senza mai vedere un'altra pagina di accesso.
Con quell'ASP, qualcuno potrebbe andare direttamente alla "Pagina di recupero dell'account" e modificare indirizzi e-mail e numeri di telefono a cui vengono inviati i messaggi di reimpostazione della password.
"Questo è bastato per renderci conto che gli ASP presentavano alcune minacce alla sicurezza sorprendentemente serie", ha affermato Goodman.
Duo Security ha intercettato un ASP analizzando le richieste inviate da un dispositivo Android ai server di Google. Mentre uno schema di phishing per intercettare gli ASP avrebbe probabilmente un basso tasso di successo, Duo Security ha ipotizzato che il malware potesse essere progettato per estrarre ASP archiviati sul dispositivo o sfruttare la scarsa verifica del certificato SSL per intercettare ASP come parte di un man-in l'attacco medio.
Mentre le correzioni di Google risolvono i problemi riscontrati, "ci piacerebbe vedere Google implementare alcuni mezzi per limitare ulteriormente i privilegi dei singoli ASP", ha scritto Goodman.
Per vedere tutti i post della nostra copertura RSA, controlla la nostra pagina Show Reports.
