Car-tech

Οι κωδικοί πρόσβασης για συγκεκριμένες εφαρμογές αποδυναμώνουν τον έλεγχο ταυτότητας δύο παραγόντων της Google, λένε οι ερευνητές

Using 2-step verification

Using 2-step verification
Anonim

Οι ερευνητές από τον παροχέα ελέγχου ταυτότητας δύο παραγόντων Duo Security βρήκαν ένα κενό στο σύστημα ελέγχου ταυτότητας της Google που τους επέτρεψε να παρακάμψουν την επαλήθευση σύνδεσης σε 2 στάδια καταχρώντας τους μοναδικούς κωδικούς πρόσβασης που χρησιμοποιούνται για τη σύνδεση μεμονωμένων εφαρμογών σε λογαριασμούς Google

Σύμφωνα με τους ερευνητές της Duo Security, η Google διόρθωσε το ελάττωμα στις 21 Φεβρουαρίου, αλλά το περιστατικό τονίζει το γεγονός ότι οι κωδικοί πρόσβασης της Google για συγκεκριμένες εφαρμογές δεν παρέχουν κοκκώδη έλεγχος των δεδομένων του λογαριασμού.

Όταν είναι ενεργοποιημένο, το σύστημα επαλήθευσης σε δύο βήματα της Google απαιτεί την εισαγωγή μοναδικών κωδικών σε πρόσθετα n στον κανονικό κωδικό πρόσβασης του λογαριασμού για να συνδεθείτε. Αυτό έχει σχεδιαστεί για να εμποδίζει τους λογαριασμούς από το να καταπατούνται ακόμη και όταν ο κωδικός είναι compromised. Οι μοναδικοί κωδικοί μπορούν είτε να ληφθούν σε έναν τηλεφωνικό αριθμό που σχετίζεται με το λογαριασμό, είτε να δημιουργηθούν χρησιμοποιώντας μια εφαρμογή smartphone.

Ωστόσο, η επαλήθευση σε δύο βήματα λειτουργεί κατά τη σύνδεση μέσω του ιστότοπου της Google. Προκειμένου να φιλοξενήσει υπολογιστές ηλεκτρονικού ταχυδρομείου για υπολογιστές, προγράμματα συνομιλίας, εφαρμογές ημερολογίου κ.ο.κ., η Google εισήγαγε την έννοια των κωδικών πρόσβασης για συγκεκριμένες εφαρμογές (ASP). Αυτοί είναι τυχαία παραγόμενοι κωδικοί πρόσβασης που επιτρέπουν στις εφαρμογές να έχουν πρόσβαση στο λογαριασμό χωρίς να χρειάζεται ένας δεύτερος παράγοντας επαλήθευσης ταυτότητας. Οι ASPs μπορούν να ανακληθούν ανά πάσα στιγμή χωρίς να αλλάξουν τον κύριο κωδικό πρόσβασης του λογαριασμού.

Το πρόβλημα είναι ότι "τα ASPs είναι - όσον αφορά την εφαρμογή - δεν είναι καθόλου συγκεκριμένα για την εφαρμογή!" οι ερευνητές της Duo Security δήλωσαν τη Δευτέρα σε μια θέση blog. "Αν δημιουργήσετε ένα ASP για χρήση σε (για παράδειγμα) έναν πελάτη συνομιλίας XMPP, το ίδιο ASP μπορεί επίσης να χρησιμοποιηθεί για να διαβάσει το email σας μέσω IMAP ή να αρπάξει τα συμβάντα του ημερολογίου σας με CalDAV."

Οι ερευνητές βρήκαν ένα ελάττωμα ο μηχανισμός αυτόματης σύνδεσης που εφαρμόστηκε στο Chrome στις τελευταίες εκδόσεις του Android που τους επέτρεψε να χρησιμοποιήσουν μια ASP για να αποκτήσουν πρόσβαση σε ρυθμίσεις ανάκτησης λογαριασμού Google και σε ρυθμίσεις επαλήθευσης σε 2 βήματα.

Στην ουσία, το ελάττωμα θα μπορούσε να επέτρεπε σε έναν εισβολέα ο οποίος έκλεψε ένα ASP για λογαριασμό Google για να αλλάξει τον αριθμό κινητού τηλεφώνου και τη διεύθυνση ηλεκτρονικού ταχυδρομείου ανάκτησης που σχετίζονται με αυτόν τον λογαριασμό ή ακόμα και να απενεργοποιήσει συνολικά την επαλήθευση σε 2 βήματα.

"Δεν δόθηκε τίποτα παρά ένα όνομα χρήστη, ένα ASP και ένα μόνο αίτημα για //android.clients.google.com/auth, μπορούμε να συνδεθούμε σε οποιαδήποτε ιδιότητα ιστού της Google χωρίς προτροπή σύνδεσης (ή επαλήθευση σε 2 βήματα)! " δήλωσαν οι ερευνητές της Duo Security. "Αυτό δεν συμβαίνει πλέον από τις 21 Φεβρουαρίου, όταν οι μηχανικοί της Google έσπρωξαν μια λύση για να κλείσουν αυτό το κενό."

Εκτός από την επίλυση του προβλήματος, η Google προφανώς αλλάζει επίσης το μήνυμα που εμφανίζεται μετά τη δημιουργία ενός κωδικού πρόσβασης για συγκεκριμένη εφαρμογή για να προειδοποιήσει τους χρήστες ότι "αυτός ο κωδικός πρόσβασης παρέχει πλήρη πρόσβαση στον Λογαριασμό σας Google."

"Πιστεύουμε ότι είναι μια αρκετά σημαντική τρύπα σε ένα ισχυρό σύστημα ελέγχου ταυτότητας, αν ένας χρήστης εξακολουθεί να έχει κάποια μορφή" κωδικού πρόσβασης " τον έλεγχο του λογαριασμού του ", ανέφεραν οι ερευνητές της Duo Security. "Ωστόσο, εξακολουθούμε να είμαστε σίγουροι ότι - ακόμη και πριν ξεκινήσουν την επιδιόρθωσή τους - επιτρέποντας την επαλήθευση σε δύο βήματα της Google, ήταν σαφέστατα καλύτερη από αυτή που δεν το έκαναν."

Οι ερευνητές θα ήθελαν να δουν στην Google να εφαρμόσει κάποιο είδος μηχανισμού παρόμοια με τα μάρκες OAuth που θα επέτρεπαν τον περιορισμό των δικαιωμάτων κάθε συγκεκριμένου κωδικού πρόσβασης για συγκεκριμένη εφαρμογή.

Η Google δεν απάντησε αμέσως σε ένα αίτημα για σχόλιο σχετικά με αυτό το ελάττωμα ή πιθανά σχέδια για την εφαρμογή πιο λεπτομερούς ελέγχου για κωδικούς πρόσβασης συγκεκριμένης εφαρμογής στο μέλλον

Το Facebook εναντίον τον Wallace και δύο άλλους άνδρες την περασμένη εβδομάδα σε μια προσπάθεια να περιορίσουν τα προγράμματα spam και phishing στον ιστότοπο κοινωνικής δικτύωσης. Τη Δευτέρα, ο δικαστής Jeremy Fogel του αμερικανικού περιφερειακού δικαστηρίου για τη Βόρεια Επαρχία της Καλιφόρνιας εξέδωσε προσωρινή εντολή απαγόρευσης της πρόσβασης στο δίκτυο του Facebook από τον Wallace και άλλους δύο υποτιθέμενους spammers, τον Adam Arzoomanian και τον Scott Shaw.

Το Facebook εναντίον τον Wallace και δύο άλλους άνδρες την περασμένη εβδομάδα σε μια προσπάθεια να περιορίσουν τα προγράμματα spam και phishing στον ιστότοπο κοινωνικής δικτύωσης. Τη Δευτέρα, ο δικαστής Jeremy Fogel του αμερικανικού περιφερειακού δικαστηρίου για τη Βόρεια Επαρχία της Καλιφόρνιας εξέδωσε προσωρινή εντολή απαγόρευσης της πρόσβασης στο δίκτυο του Facebook από τον Wallace και άλλους δύο υποτιθέμενους spammers, τον Adam Arzoomanian και τον Scott Shaw.

Ότι αυτοί οι άνδρες απέκτησαν πρόσβαση σε νόμιμους λογαριασμούς Facebook και στη συνέχεια τους χρησιμοποίησαν για να σπάσουν τις σελίδες προφίλ των φίλων των κατόχων λογαριασμού. Το Facebook επιτρέπει στους χρήστες να δημοσιεύουν μηνύματα στο "Τείχος" των σελίδων προφίλ των φίλων τους.

Έκθεση: Ο Διευθύνων Σύμβουλος της SAP ζήτησε από την Ellison να συναντηθεί για αδιέξοδο Sun- Σε σύντομο χρονικό διάστημα οι ευρωπαίοι ρυθμιστές άρχισαν έναν έλεγχο αντιμονοπωλιακής νομοθεσίας για την εκκρεμούσα εξαγορά της Sun Microsystems από την Oracle, ο CEO της SAP Léo Apotheker έγραψε τον διευθύνοντα σύμβουλο της Oracle, Larry Ellison, ζητώντας μια συνάντηση για να συζητήσει «Ο εκπρόσωπος της SAP, James Dever, επιβεβαίωσε την Παρασκευή ότι ο Apotheker είχε γράψει τον Ellison« επιδιώκοντας δ

Έκθεση: Ο Διευθύνων Σύμβουλος της SAP ζήτησε από την Ellison να συναντηθεί για αδιέξοδο Sun- Σε σύντομο χρονικό διάστημα οι ευρωπαίοι ρυθμιστές άρχισαν έναν έλεγχο αντιμονοπωλιακής νομοθεσίας για την εκκρεμούσα εξαγορά της Sun Microsystems από την Oracle, ο CEO της SAP Léo Apotheker έγραψε τον διευθύνοντα σύμβουλο της Oracle, Larry Ellison, ζητώντας μια συνάντηση για να συζητήσει «Ο εκπρόσωπος της SAP, James Dever, επιβεβαίωσε την Παρασκευή ότι ο Apotheker είχε γράψει τον Ellison« επιδιώκοντας δ

Η επιστολή εστάλη στις 15 Σεπτεμβρίου και συνίστατο στην ακόλουθη σύντομη δήλωση, σύμφωνα με το περιοδικό: "Όπως γνωρίζετε, έχουμε σημαντικές ανησυχίες για την προτεινόμενη εξαγορά της Sun από την Oracle. Ανανεώνουμε την πρόσκλησή μας να συναντηθούμε προσπαθήστε να επιλύσετε τις ανησυχίες μας και άλλα ανοικτά ζητήματα μεταξύ των εταιρειών μας. Παρακαλούμε να μας ενημερώσετε εάν και πότε θέλετε να συναντήσετε. "

Η Microsoft προσθέτει έλεγχο ταυτότητας δύο παραγόντων για να διατηρεί ασφαλή τους λογαριασμούς

Η Microsoft προσθέτει έλεγχο ταυτότητας δύο παραγόντων για να διατηρεί ασφαλή τους λογαριασμούς

Εάν είστε ενεργός χρήστης του Outlook, SkyDrive, , ή άλλες υπηρεσίες της Microsoft, μπορείτε να προσθέσετε επαλήθευση σε δύο βήματα για ένα επιπλέον επίπεδο ασφάλειας.