Google исправила уязвимость в системе двухступенчатой проверки
27.02.2013
Как сообщают исследователи компании Duo Security, злоумышленники обнаружили легкий способ обхода двухступенчатой проверки при авторизации пользователей сервисов Google, используя пароли пользователей для доступа к приложениям (Application-Specific Passwords, ASP).
"Для того чтобы внедрить двухшаговую проверку для всех своих пользователей, разработчикам Google пришлось пойти на ряд компромиссов. В частности – вместе с технологией появилась возможность создания отдельных ASP, - отмечает эксперт Duo Security Адам Гудман (Adam Goodman). – Так, пользователю приходится создавать и использовать ASP для каждого отдельного приложения, которое не поддерживает двухшаговую аутентификацию - Adium, Apple Mail, Thunderbird, iCal и др".
Однако, проблемой ASP стало то, что пароль не ограничивает доступ пользователя только одним приложением. "На самом деле, ASP может использоваться для входа почти в любые web-настройки учетной записи в Google, а также для доступа к привилегированным интерфейсам, обходя, таким образом, 2-шаговую аутентификацию", - заявляет Гудман.
Кроме того, по словам эксперта, заполучить ASP пользователя хакерам не составит огромного труда.
Исследователи Duo Security сообщили, что в ходе исследования механизма автоматической авторизации в Android, была обнаружена возможность использования этого механизма не только на Android-устройствах. Они внедрили специальный инструмент для перехвата трафика между устройством и сервером Google, потом проанализировали ответ, подученный от сервера, и установили, что параметр "зашифрованный пароль" является зашифрованным ASP, использование которого позволяет получить полный доступ к учетной записи.
"Используя логин пользователя, ASP и простой запрос к android.clients.google.com/auth, можно авторизоваться в любой учетной записи в Google, без введения учетных данных", - сообщили эксперты.
