Mga password na tukoy sa application na nagpapahina sa dalawang-salik na pagpapatotoo ng Google, sinasabi ng mga mananaliksik

Ang mga mananaliksik mula sa dalawang-factor na pagpapatunay na tagapagbigay ng serbisyo Duo Security ay nakakita ng isang lusot sa sistema ng pagpapatunay ng Google na nagpapahintulot sa kanila na laktawan ang 2-step na pag-login sa pagpapatotoo ng kumpanya Sa pamamagitan ng pag-abuso sa mga natatanging password na ginamit upang ikonekta ang mga indibidwal na mga application sa Google account.

Ayon sa mga Duo Security mananaliksik, naayos ng Google ang kapintasan sa Pebrero 21, ngunit ang pangyayari ay nagpapakita ng katunayan na ang mga password ng application na tukoy ng Google ay hindi nagbibigay ng butil-butil kontrol sa paglipas ng data ng account.

Kapag pinagana, ang sistema ng 2-step na pag-verify ng Google ay nangangailangan ng pag-input ng mga natatanging code sa additio n sa regular na password ng account upang mag-log in. Idinisenyo ito upang pigilan ang mga account na i-hijack kahit na ang password ay naka-kompromiso. Ang mga natatanging code ay maaaring matanggap sa isang numero ng telepono na nauugnay sa account o maaaring mabuo gamit ang isang smartphone application.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Gayunpaman, ang 2-step na pag-verify lamang gumagana kapag nag-log in sa site ng Google. Upang mapaunlakan ang mga e-mail client sa desktop, mga programa sa chat, mga application sa kalendaryo at iba pa, ipinakilala ng Google ang konsepto ng mga password na tukoy sa application (ASP). Ang mga ito ay mga random na nabuong password na nagpapahintulot sa mga application na ma-access ang account nang hindi nangangailangan ng pangalawang kadahilanan na pagpapatotoo. Maaaring i-revoke ang ASP anumang oras nang hindi binago ang pangunahing password ng account.

Ang problema ay, "Ang mga ASP ay sa mga tuntunin ng pagpapatupad-hindi talaga ang partikular na application!" sinabi ng mga mananaliksik ng Duo Security noong Lunes sa isang post sa blog. "Kung lumikha ka ng isang ASP para sa paggamit sa (halimbawa) ng isang XMPP chat client, ang parehong ASP ay maaari ding gamitin upang basahin ang iyong email sa IMAP, o kunin ang iyong mga kaganapan sa kalendaryo sa CalDAV."

Nakakita ang mga mananaliksik ng isang kapintasan ang mekanismo ng auto-login na ipinatupad sa Chrome sa mga pinakabagong bersyon ng Android na nagpapahintulot sa kanila na gumamit ng isang ASP upang makakuha ng access sa pagbawi ng Google account at mga setting ng 2-step na pag-verify.

Sa kaibuturan, maaaring pinahintulutan ang pag-atake ng nakawin ang isang ASP para sa isang Google account upang baguhin ang numero ng mobile phone at email address sa pagbawi na nauugnay sa account na iyon o kahit na huwag paganahin ang 2-step na pag-verify nang buo.

"Walang ibinigay na isang username, ASP, at isang solong kahilingan sa //android.clients.google.com/auth, maaari kaming mag-log in sa anumang pag-aari ng web ng Google nang walang anumang pag-prompt sa pag-login (o 2-step na pag-verify)! " Sinabi ng mga mananaliksik ng Duo Security. "Hindi na ito ang kaso ng Pebrero 21, nang ang mga inhinyero ng Google ay nagtulak ng isang ayusin upang isara ang lusot na ito."

Bilang karagdagan sa pag-aayos ng isyu, lumilitaw din ang Google na nagbago ang mensaheng ipinapakita matapos ang pagbuo ng password ng tukoy sa application upang bigyan ng babala ang mga user na "ang password na ito ay nagbibigay ng kumpletong pag-access sa iyong Google Account."

"Sa tingin namin ito ay isang makabuluhang butas sa isang malakas na sistema ng pagpapatunay kung ang isang gumagamit ay mayroon pa ring ilang anyo ng 'password' na sapat upang sakupin ang buong kontrol sa kanyang account, "sabi ng mga mananaliksik ng Duo Security. "Gayunpaman, tiwala pa rin kami na-kahit na bago ilunsad ang kanilang pag-aayos-ang pagpapagana ng 2-hakbang na pag-verify ng Google ay mas malinaw kaysa sa hindi paggawa nito."

Ganoon, nais ng mga mananaliksik na makita ang Google na nagpapatupad ng ilang uri ng mekanismo katulad ng mga token ng OAuth na magpapahintulot sa paghihigpit sa mga pribilehiyo ng bawat indibidwal na password na tukoy sa application.

Hindi agad sumagot ang Google sa isang kahilingan para sa komento tungkol sa kapintasan na ito o posibleng mga plano upang maipatupad ang higit pang mga butil na kontrol para sa mga password na tukoy sa application sa hinaharap.