سمح خلل المصادقة الثنائية في Google باختطاف الحساب

SAN FRANCISCO - تمكن الباحثون من استخدام كلمات مرور خاصة بالتطبيقات لتجاوز مصادقة Google ثنائية العوامل والتحكم الكامل في حساب Gmail للمستخدم.

يبدأ مؤتمر أمان RSA 2013 بجدية صباح الغد ، لكن العديد من المشاركين في المؤتمر كانوا بالفعل يتجولون في مركز Moscone في سان فرانسيسكو للمشاركة في محادثات في Cloud Security Alliance Summit ولجنة الحوسبة الموثوقة. أجرى آخرون محادثات حول مجموعة واسعة من الموضوعات المتعلقة بالأمان مع الحضور الآخرين. كان موضوع هذا الصباح من Duo Security حول كيفية العثور على طريقة لتجاوز الباحثين عن مصادقة Google الثنائية موضوعًا شائعًا للمناقشة هذا الصباح.

تسمح Google للمستخدمين بتشغيل مصادقة ثنائية على حساب Gmail الخاص بهم لتوفير أمان أقوى وإنشاء رموز وصول خاصة للتطبيقات التي لا تدعم التحقق من خطوتين. اكتشف آدم غودمان ، كبير مهندسي الأمن في شركة Duo Security ، أن الباحثين في شركة Duo Security وجدوا طريقة لإساءة استخدام تلك الرموز المميزة للتحايل بشكل كامل على العملية ثنائية العوامل. كتب جودمان أن شركة Duo Security أخطرت Google بالمشكلات ، وأن الشركة "نفذت بعض التغييرات للتخفيف من أخطر التهديدات".

وكتب غودمان: "نعتقد أنها تشكل فجوة مهمة في نظام مصادقة قوي إذا كان المستخدم لا يزال لديه شكل من أشكال كلمة المرور يكفي للسيطرة الكاملة على حسابه".

ومع ذلك ، قال أيضًا إن وجود مصادقة ثنائية ، حتى مع وجود هذا الخلل ، كان "أفضل بشكل لا لبس فيه" من الاعتماد فقط على مجموعة اسم المستخدم / كلمة المرور العادية.

المشكلة مع ASPs

تعد المصادقة ثنائية العوامل طريقة جيدة لتأمين حسابات المستخدمين ، حيث إنها تتطلب شيئًا تعرفه (كلمة المرور) وشيءًا لديك (جهاز محمول للحصول على الكود الخاص). يحتاج المستخدمون الذين قاموا بتشغيل حسابين على حساباتهم في Google إلى إدخال بيانات اعتماد تسجيل الدخول العادية ، ثم كلمة المرور الخاصة للاستخدام مرة واحدة المعروضة على أجهزتهم المحمولة. قد يتم إنشاء كلمة المرور الخاصة بواسطة تطبيق على الجهاز المحمول أو يتم إرسالها عبر رسالة SMS ، وهي خاصة بالجهاز. هذا يعني أن المستخدم لا داعي للقلق بشأن إنشاء رمز جديد في كل مرة يسجل فيها الدخول ، ولكن في كل مرة يسجل فيها الدخول من جهاز جديد. ومع ذلك ، لمزيد من الأمان ، تنتهي صلاحية رمز المصادقة كل 30 يومًا.

أشار غودمان إلى أن الفكرة والتنفيذ كانا رائعين ، لكن Google اضطرت إلى تقديم "بعض التنازلات" ، مثل كلمات المرور الخاصة بالتطبيقات ، بحيث لا يزال بإمكان المستخدمين استخدام التطبيقات التي لا تدعم التحقق من خطوتين. ASPs هي الرموز المميزة التي تم إنشاؤها لكل تطبيق (وبالتالي الاسم) الذي يدخله المستخدمون بدلاً من تركيبة كلمة المرور / الرمز المميز. يمكن للمستخدمين استخدام ASPs لعملاء البريد الإلكتروني مثل Mozilla Thunderbird ، وعملاء الدردشة مثل Pidgin ، وتطبيقات التقويم. لا تدعم إصدارات Android الأقدم أيضًا خطوتين ، لذا كان على المستخدمين استخدام ASPs لتسجيل الدخول إلى الهواتف والأجهزة اللوحية القديمة. يمكن للمستخدمين أيضًا إلغاء الوصول إلى حساب Google الخاص بهم عن طريق تعطيل ASP لهذا التطبيق.

اكتشف Duo Security أن ASPs في الواقع لم تكن خاصة بالتطبيق ، بعد كل شيء ، ويمكن أن تفعل أكثر من مجرد الاستيلاء على البريد الإلكتروني عبر بروتوكول IMAP أو أحداث التقويم باستخدام CalDev. في الواقع ، يمكن استخدام رمز واحد لتسجيل الدخول إلى أي من خصائص الويب الخاصة بـ Google تقريبًا بفضل ميزة "تسجيل الدخول التلقائي" الجديدة التي تم تقديمها في إصدارات Android و Chrome الحديثة. يسمح تسجيل الدخول التلقائي للمستخدمين الذين ربطوا أجهزتهم المحمولة أو أجهزة Chromebook بحساباتهم في Google بالوصول تلقائيًا إلى جميع الصفحات ذات الصلة بـ Google عبر الويب دون مشاهدة صفحة تسجيل دخول أخرى على الإطلاق.

باستخدام هذا ASP ، يمكن لأي شخص الانتقال مباشرة إلى "صفحة استرداد الحساب" وتعديل عناوين البريد الإلكتروني وأرقام الهواتف حيث يتم إرسال رسائل إعادة تعيين كلمة المرور.

وقال غودمان: "كان هذا كافياً لإدراكنا أن آسيا والمحيط الهادئ قدمت بعض التهديدات الأمنية الخطيرة بشكل مدهش".

اعترضت Duo Security نظام ASP من خلال تحليل الطلبات المرسلة من جهاز Android إلى خوادم Google. بينما من المحتمل أن يكون لنظام التصيد الاحتيالي لاعتراض ASPs معدل نجاح منخفض ، تكهن Duo Security بأن البرامج الضارة يمكن تصميمها لاستخراج ASPs المخزنة على الجهاز أو الاستفادة من التحقق الضعيف من شهادة SSL لاعتراض ASPs كجزء من الهجوم الأوسط.

بينما تعالج إصلاحات Google المشكلات الموجودة ، "نحن نود أن نرى Google تنفذ بعض الوسائل لزيادة تقييد امتيازات ASPs الفردية" ، كتب غودمان.

للاطلاع على جميع المشاركات من تغطية RSA الخاصة بنا ، تحقق من صفحة إظهار التقارير.