Kako je (bilo) moguće zaobići Google-ovu dvostepenu verifikaciju i preoteti korisnički nalog

Vesti, 26.02.2013, 07:31 AM

Kako je (bilo) moguće zaobići Google-ovu dvostepenu verifikaciju i preoteti korisnički nalog

Istraživači firme Duo Security otkrili su kako da na jednostavan način zaobiđu Google-ovu dvostepenu verifikaciju i to pomoću šifre za aplikaciju.

Naime, da bi dvostepena verifikacija bila dostupna svim korisnicima Gmail-a, Google-ovi inženjeri su napravili nekoliko kompromisa, a jedan od njih je „Application-Specific Password“, šifra koju korisnik kreira i koristi za svaku aplikaciju koja ne podržava dvostepenu verifikaciju, kao što su Adium, Apple Mail, Thunderbird, iCal i druge.

Problem je u tome što ASP, uprkos onome što bi se moglo pretpostaviti iz naziva, zapravo ne ograničava pristup korisnika samo određenim podacima ili servisima. Ustvari, ASP se može iskoristiti za prijavljivanje na skoro svaki Google servis i za pristup privilegovanim interfejsima naloga, na način kojim se zaobilazi dvostepena verifikacija, kažu istraživači.

A doći do korisničkog ASP-a nije naročito teško.

Analizirajući mehanizam automatskog prijavljivanja na web na Androidu, istraživači su otkrili način kako da ga iskoriste bez korišćenja Android uređaja. Oni su postavili proksi za presretanje sa prilagođenim CA sertifikatom da bi nadgledali mrežni saobraćaj između Android emulatora i Google-ovih servera i potom anlizirali zahtev koji se šalje kada se emulatoru doda Google nalog, pri čemu se koristi ASP.

Oni su otkrili da je zahvaljujući propustu dovoljno korisničko ime, ASP i zahtev za https://android.clients.google.com/auth, da bi se prijavili na bilo koji Google servis bez zahteva za dvostepenu verifikaciju.

Kada upadne u nalog, napadač može promeniti email adresu za oporavak lozinke, poništiti žrtvinu glavnu lozinku i isključiti dvostepenu verifikaciju.

Istraživači su detalje o ovom propustu dostavili Google-u, nakon čega je kompanija uklonila ovaj propust što se dogodilo prošle nedelje. Sada, čak i ako bi napadač uspeo da se domogne korisnikovog ASP-a, koristeći malver za to ili MitM napad, šteta koju on može prozrokovati je ograničena jer je nalog pod kontolom vlasnika koji može poništiti kompromitovani ASP. Google sada proverava kako se korisnik identifikovao, tako da je pristup sigurnosnim podešavanjima naloga moguć jedino ako korisnik najpre unese korisničko ime i lozinku, a potom dostavi i drugi traženi element identifikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje