ビデオ: ä¸è¦å²ç¬æåçæ§ (九月 2024)
サンフランシスコ-研究者は、アプリケーション固有のパスワードを使用して、Googleの2要素認証をバイパスし、ユーザーのGmailアカウントを完全に制御することができました。
2013年のRSAセキュリティ会議は明日の朝に本格的に始まりますが、会議の参加者の多くは既にクラウドセキュリティアライアンスサミットとトラステッドコンピューティンググループパネルで講演するためにサンフランシスコのモスコーンセンターで動き回っていました。 他の参加者は、セキュリティ関連の幅広いトピックについて他の参加者と会話を始めました。 今朝のDuo Securityからの投稿で、研究者がGoogleの2要素認証をバイパスする方法を見つけた方法については、今朝の議論の一般的なトピックでした。
Googleでは、ユーザーがGmailアカウントで2要素認証を有効にしてセキュリティを強化し、2段階認証をサポートしていないアプリケーション用に特別なアクセストークンを生成することを許可しています。 Duo Securityの研究者は、これらの特別なトークンを悪用して2要素プロセスを完全に回避する方法を見つけたとDuo SecurityのプリンシパルセキュリティエンジニアであるAdam Goodman氏は書いています。 デュオセキュリティはGoogleに問題を通知し、同社は「最も深刻な脅威を緩和するためにいくつかの変更を実施しました」とグッドマンは書いています。
「ユーザーがアカウントのフルコントロールを引き継ぐのに十分な何らかの「パスワード」をまだ持っている場合、強力な認証システムのかなり重大なホールだと思います」とグッドマンは書いています。
しかし、彼はまた、この欠陥があっても、通常のユーザー名/パスワードの組み合わせに頼るよりも「明白に良い」2要素認証を持つことを言った。
ASPの問題
2要素認証は、ユーザーアカウント(パスワード)と持っているもの(特別なコードを取得するためのモバイルデバイス)を必要とするため、ユーザーアカウントを保護するのに適した方法です。 Googleアカウントで2要素を有効にしたユーザーは、通常のログイン資格情報を入力してから、特別な使い捨てパスワードをモバイルデバイスに表示する必要があります。 特別なパスワードは、モバイルデバイス上のアプリによって生成されるか、SMSメッセージを介して送信され、デバイス固有のものです。 つまり、ユーザーはログインするたびに新しいコードを生成する必要はありませんが、新しいデバイスからログインするたびに心配する必要はありません。 ただし、セキュリティを強化するために、認証コードは30日ごとに期限切れになります。
優れたアイデアと実装ですが、ユーザーが2段階認証をサポートしていないアプリケーションを引き続き使用できるように、Googleはアプリケーション固有のパスワードなどの「いくつかの妥協」を行う必要がありました。 ASPは、ユーザーがパスワード/トークンの組み合わせの代わりに入力する各アプリケーション(名前)に対して生成される特殊なトークンです。 ユーザーは、Mozilla Thunderbirdなどのメールクライアント、Pidginなどのチャットクライアント、およびカレンダーアプリケーションにASPを使用できます。 古いAndroidバージョンも2ステップをサポートしていないため、ユーザーはASPを使用して古い携帯電話やタブレットにサインインする必要がありました。 ユーザーは、そのアプリケーションのASPを無効にすることで、Googleアカウントへのアクセスを取り消すこともできます。
Duo Securityは、ASPは実際にはアプリケーション固有ではなく、CalDevを使用してIMAPプロトコルまたはカレンダーイベントで電子メールを取得する以上のことができることを発見しました。 実際、最近のAndroidおよびChrome OSバージョンで導入された新しい「自動ログイン」機能により、1つのコードを使用してほぼすべてのGoogleのWebプロパティにログインできます。 自動ログインにより、モバイルデバイスまたはChromebookをGoogleアカウントにリンクしたユーザーは、別のログインページを表示することなく、Web上のすべてのGoogle関連ページに自動的にアクセスできました。
そのASPを使用すると、誰かが「アカウント復旧ページ」に直接進み、パスワードリセットメッセージが送信される電子メールアドレスと電話番号を編集できます。
「これは、ASPが驚くほど深刻なセキュリティ上の脅威を提示したことを認識するのに十分でした」とGoodman氏は述べています。
Duo Securityは、AndroidデバイスからGoogleサーバーに送信されたリクエストを分析してASPをインターセプトしました。 ASPをインターセプトするフィッシングスキームの成功率は低い可能性がありますが、Duo Securityはマルウェアがデバイスに保存されたASPを抽出するか、不十分なSSL証明書検証を利用してマンインインの一部としてASPをインターセプトするように設計できると推測しました中間攻撃。
Googleの修正プログラムは見つかった問題に対処しますが、「Googleが個々のASPの特権をさらに制限する何らかの手段を実装することを期待しています」とGoodmanは書いています。
RSAカバレッジのすべての投稿を表示するには、レポートの表示ページをご覧ください。
