Applicatiespecifieke wachtwoorden verzwakken Google's tweefactorauthenticatie, zeggen onderzoekers

Onderzoekers van tweefactorauthenticatieprovider Duo Security vonden een maas in het authenticatiesysteem van Google waardoor ze de authenticatie van het bedrijf in 2 stappen konden omzeilen door misbruik te maken van de unieke wachtwoorden die worden gebruikt om individuele applicaties met Google-accounts te verbinden.

Volgens de onderzoekers van Duo Security heeft Google de fout op 21 februari opgelost, maar het incident benadrukt het feit dat de applicatiespecifieke wachtwoorden van Google geen gedetailleerde informatie bieden controle over accountgegevens.

Indien ingeschakeld, vereist het authenticatiestelsel voor authenticatie in twee stappen van Google bovendien unieke codes n naar het normale wachtwoord van het account om in te loggen. Dit is ontworpen om te voorkomen dat accounts worden gehackt, zelfs als het wachtwoord is aangetast. De unieke codes kunnen worden ontvangen op een telefoonnummer dat aan het account is gekoppeld of kunnen worden gegenereerd met een smartphoneapplicatie.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Alleen authenticatie in twee stappen werkt wanneer u inlogt via de Google-site. Om tegemoet te komen aan desktop e-mailclients, chatprogramma's, kalenderapplicaties, enzovoort, introduceerde Google het concept van applicatiespecifieke wachtwoorden (ASP's). Dit zijn willekeurig gegenereerde wachtwoorden waarmee applicaties toegang tot het account kunnen krijgen zonder dat een tweede authenticatiefactor nodig is. ASP's kunnen op elk moment worden ingetrokken zonder het hoofdwachtwoord van het account te wijzigen.

Het probleem is, "ASP's zijn - in termen van handhaving - helemaal niet toepassingsspecifiek!" de Duo Security-onderzoekers zeiden maandag in een blogpost. "Als u een ASP maakt voor gebruik in (bijvoorbeeld) een XMPP-chatclient, kan dezelfde ASP ook worden gebruikt om uw e-mail via IMAP te lezen of om uw agendagebeurtenissen met CalDAV te bemachtigen."

De onderzoekers vonden een fout in het automatische inlogmechanisme geïmplementeerd in Chrome in de nieuwste versies van Android waarmee ze een ASP konden gebruiken om toegang te krijgen tot het herstel- en authenticatie-instellingen van twee Google-accounts.

In wezen had de fout een aanvaller kunnen toestaan ​​die een ASP gestolen voor een Google-account om het mobiele telefoonnummer en het herstel-e-mailadres te wijzigen dat aan dat account is gekoppeld of om zelfs authenticatie in twee stappen uit te schakelen.

"Gegeven niets anders dan een gebruikersnaam, een ASP en een enkel verzoek aan //android.clients.google.com/auth, we kunnen inloggen op een Google-webproperty zonder aanmeldprompt (of authenticatie in twee stappen)! " zeiden de Duo Security-onderzoekers. "Dit is niet meer het geval met ingang van 21 februari, toen Google-technici een correctie dreven om deze maas in de wet te dichten."

Naast het probleem heeft Google ook blijkbaar het weergegeven bericht gewijzigd nadat een applicatiespecifiek wachtwoord is gegenereerd om gebruikers te waarschuwen dat "dit wachtwoord volledige toegang tot uw Google-account verleent."

"We denken dat het een vrij groot gat is in een sterk authenticatiesysteem als een gebruiker nog steeds een of ander 'wachtwoord' heeft dat volstaat om het volledige beheer over te nemen controle over zijn account ", aldus de onderzoekers van Duo Security. "We zijn er echter nog steeds van overtuigd dat - zelfs voordat ze hun oplossing hebben geïmplementeerd - de authenticatie in twee stappen van Google onbetwistbaar beter was dan dit niet te doen."

Dat gezegd hebbende, zouden de onderzoekers graag zien dat Google een of ander mechanisme implementeert vergelijkbaar met OAuth-tokens waarmee de rechten van elk afzonderlijk applicatiespecifiek wachtwoord kunnen worden beperkt.

Google reageerde niet onmiddellijk op een verzoek om commentaar over deze fout of mogelijke plannen om in de toekomst meer gedetailleerde controle uit te voeren voor applicatiespecifieke wachtwoorden.