Uygulamasına özgü şifrelerin Google'ın iki faktörlü kimlik doğrulamasını zayıflattığını söylüyor. Araştırmacılar,

İki faktörlü kimlik doğrulama sağlayıcısından araştırmacılar Duo Security, Google'ın kimlik doğrulama sisteminde şirketin 2 adımlı giriş doğrulamasını geçmesine izin veren bir boşluk buldu Tek tek uygulamaları Google hesaplarına bağlamak için kullanılan benzersiz şifreleri kötüye kullanma.

Google, Duo Security araştırmacılarına göre, 21 Şubat'taki kusurları düzeltdi, ancak olay Google'ın uygulamaya özel şifrelerinin parçalı sunmadığı gerçeğini vurgular. hesap verileri üzerinde kontrol.

Etkinleştirildiğinde, Google'ın 2 adımlı doğrulama sistemi, ek kodlardaki benzersiz kodların girilmesini gerektirir. Oturum açmak için hesabın normal şifresine n. Bu, parola ele geçirildiğinde bile hesapların ele geçirilmesini önlemek için tasarlanmıştır. Benzersiz kodlar, hesapla ilişkili bir telefon numarasından alınabilir veya bir akıllı telefon uygulaması kullanılarak oluşturulabilir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ancak, yalnızca 2 adımlı doğrulama Google’ın sitesine giriş yaparken çalışır. Masaüstü e-posta istemcilerini, sohbet programlarını, takvim uygulamalarını vb. Karşılamak için Google, uygulamaya özel şifreler (ASP) kavramını tanıttı. Bunlar, uygulamaların ikinci bir kimlik doğrulama faktörü gerekmeden hesaba erişmesine izin veren rastgele oluşturulmuş şifrelerdir. ASP, hesabın ana şifresini değiştirmeden herhangi bir zamanda iptal edilebilir.

Sorun şu ki, "ASP'ler, aslında uygulamaya özel bir uygulama değil, uygulama açısından!" Duo Güvenlik araştırmacıları Pazartesi günü bir blogda yayınladı. "(Örneğin) bir XMPP sohbet istemcisinde kullanım için bir ASP oluşturursanız, aynı ASP, IMAP üzerinden e-postanızı okumak için de kullanılabilir veya takvim etkinliklerinizi CalDAV ile yakalayabilirsiniz."

Araştırmacılar bir kusur buldular. Chrome'un Google'ın en yeni sürümlerinde, Google hesabının kurtarma ve 2 adımlı doğrulama ayarlarına erişim elde etmek için ASP kullanmasına izin veren otomatik oturum açma mekanizması.

Aslında, kusur, bir saldırganın bir hesap için bir ASP hesabı çaldı, bu hesapla ilişkili cep telefonu numarası ve ikincil e-posta adresini değiştirmek ya da 2 adımlı doğrulamayı tamamen devre dışı bırakmak bile.

"Kullanıcı adı, ASP ve https için tek bir istek dışında hiçbir şey verilmedi: //android.clients.google.com/auth, herhangi bir Google web mülküne herhangi bir giriş istemi (veya 2 adımlı doğrulama) olmadan giriş yapabiliriz! " Duo Güvenlik araştırmacıları söyledi. "Bu, Google mühendislerinin bu boşlukları kapatmak için bir düzeltme uyguladığı 21 Şubat itibariyle artık geçerli değil."

Sorunun düzeltilmesine ek olarak, Google, görünüşe göre, uygulamaya özel bir şifre oluşturduktan sonra görüntülenen mesajı da değiştirdi. Kullanıcıları "bu şifre Google Hesabınıza tam erişim izni veriyor."

"Bir kullanıcı hala" şifre "türüne sahipse, tam olarak ele geçirmek için yeterliyse, güçlü bir kimlik doğrulama sisteminde oldukça önemli bir delik olduğunu düşünüyoruz. Duo Güvenlik araştırmacıları, hesabının kontrolünü yaptı. "Ancak, hâlâ, Google'ın 2 adımlı doğrulama işlemlerini gerçekleştirmeden önce, 2 adımlı doğrulamayı kullanıma sunmanın bile, bunu yapmamaktan çok daha iyi olduğuna hala güveniyoruz."

dedi. Araştırmacılar, Google'ın bir tür mekanizma uyguladığını görmek istediklerini söyledi. Her bir uygulamaya özel şifrenin ayrıcalıklarını kısıtlayabilen OAuth jetonlarına benzer.

Google, bu kusurla ilgili yorum talebinde veya gelecekteki uygulamaya özel şifreler için daha ayrıntılı kontrollerin uygulanmasına yönelik muhtemel planlara hemen yanıt vermedi..