Videó: ’, Â, � etc... How to fix strange encoding characters in WP or other SQL database (November 2024)
SAN FRANCISCO - A kutatók alkalmazásspecifikus jelszavakkal tudtak megkerülni a Google két tényezőjű hitelesítését, és teljes ellenőrzést szereztek a felhasználó Gmail-fiókja felett.
A 2013. évi RSA biztonsági konferencia komolyan holnap reggel kezdődik, de a konferencia sok résztvevője már San Francisco-ban, a Moscone központban zajlott, hogy tárgyalásokat vegyen a Cloud Security Alliance csúcstalálkozóján és a Megbízható Számítástechnika Csoportjának. Mások a biztonsággal kapcsolatos témák széles választékáról beszélgetéseket folytattak a többi résztvevővel. A Duo Security ma reggeli beszámolója arról, hogy a kutatók hogyan találtak módot a Google kéttényezős hitelesítésének megkerülésére, ma reggel a vita általános témája.
A Google lehetővé teszi a felhasználók számára, hogy Gmail-fiókjukban bekapcsolják a két tényezővel történő hitelesítést az erősebb biztonság érdekében, és speciális hozzáférési jogkivonatokat készítsenek olyan alkalmazások számára, amelyek nem támogatják a kétlépcsős azonosítást. A Duo Security kutatói találtak módot a speciális tokenek visszaélésére, hogy teljes mértékben megkerüljék a két tényezővel járó folyamatot - írta Adam Goodman, a Duo Security fő biztonsági mérnöke. A Duo Security értesítette a Google-t a problémákról, és a cég "végrehajtott néhány változtatást a fenyegetések legsúlyosabb enyhítése érdekében" - írta Goodman.
"Úgy gondoljuk, hogy ez egy meglehetősen jelentős lyuk az erős hitelesítési rendszerben, ha a felhasználónak még van valamilyen 'jelszava', amely elegendő ahhoz, hogy átvegye fiókjának teljes ellenőrzését" - írta Goodman.
Ugyanakkor azt is elmondta, hogy a két tényezővel történő hitelesítés, még e hibával is, "egyértelműen jobb", mint pusztán a normál felhasználónév / jelszó kombinációra támaszkodni.
Az ASP-k problémája
A kéttényezős hitelesítés jó módja a felhasználói fiókok biztonságának, mivel ehhez valami ismeretet (jelszó) és valamit meg kell (egy mobilkészüléket a speciális kód megszerzéséhez) megkövetelnie. A két tényezőt bekapcsoló felhasználóknak be kell adniuk a szokásos bejelentkezési hitelesítő adataikat, majd a mobil eszközükön megjelenő speciális egyszer használatos jelszót. A speciális jelszót az alkalmazás létrehozhatja a mobil eszközön, vagy SMS-ben elküldheti, és az eszközspecifikus. Ez azt jelenti, hogy a felhasználónak nem kell aggódnia, hogy minden egyes bejelentkezéskor új kódot generál, hanem minden egyes új eszközről történő bejelentkezéskor. A további biztonság érdekében azonban a hitelesítési kód 30 naponként lejár.
Nagyszerű ötlet és megvalósítás, de a Google-nak néhány kompromisszumot kellett tennie, például az alkalmazás-specifikus jelszavakat, hogy a felhasználók továbbra is olyan alkalmazásokat használhassanak, amelyek nem támogatják a kétlépcsős azonosítást - jegyezte meg Goodman. Az ASP-k az egyes alkalmazásokhoz létrehozott speciális jogkivonatok (így a név), amelyeket a felhasználók a jelszó / token kombináció helyett írnak be. A felhasználók ASP-eket használhatnak e-mail kliensekhez, például Mozilla Thunderbird, csevegő kliensekhez, például Pidgin, és naptári alkalmazásokhoz. A régebbi Android-verziók szintén nem támogatják a kétlépcsős lépéseket, így a felhasználóknak ASP-kkel kellett bejelentkezniük a régebbi telefonokba és táblagépekbe. A felhasználók visszavonhatják Google-fiókjukhoz való hozzáférésüket az alkalmazás ASP-jének letiltásával is.
A Duo Security felfedezte, hogy az ASP-k valójában nem voltak alkalmazás-specifikusak, és nem csupán e-mailek megragadására szolgálnak az IMAP protokollon vagy a naptári eseményeken keresztül a CalDev segítségével. Valójában egy kódot lehet használni a Google szinte bármelyik webes tulajdonságába való bejelentkezéshez, köszönhetően a legújabb Android és Chrome OS verziókban bevezetett új "automatikus bejelentkezés" funkciónak. Az automatikus bejelentkezés lehetővé tette a mobileszközöket vagy a Chromebookjaikat Google-fiókjaikhoz kapcsoló felhasználók számára, hogy automatikusan hozzáférjenek az összes Google-lal kapcsolatos oldalhoz az interneten anélkül, hogy soha nem látnának másik bejelentkezési oldalt.
Ezzel az ASP-vel valaki egyenesen a „Fiók-helyreállítási oldalra” léphet, és szerkesztheti az e-mail címeket és telefonszámokat, ahol a jelszó-visszaállítási üzeneteket küldik.
"Ez elég volt ahhoz, hogy felismerjük, hogy az ASP-k meglepően komoly biztonsági fenyegetéseket jelentenek" - mondta Goodman.
A Duo Security elfogott egy ASP-t az Android-eszközről a Google szervereire küldött kérelmek elemzésével. Míg az ASP-k lehallgatására szolgáló adathalász programnak valószínűleg alacsony a sikeressége, a Duo Security felteszi, hogy a rosszindulatú programokat úgy lehet megtervezni, hogy kinyerjék az eszközön tárolt ASP-kat, vagy kihasználhassák a rossz SSL-tanúsítvány-ellenőrzést az ASP-k elfogására az ember részéről. a középső támadás.
Miközben a Google javításai megoldják a talált problémákat, "örömmel látnánk, ha a Google végrehajtana bizonyos eszközöket az egyes ASP-k kiváltságainak további korlátozására" - írta Goodman.
Az RSA lefedettségünk összes üzenetének megtekintéséhez olvassa el a Jelentések megjelenítése oldalt.
