Sandi khusus aplikasi melemahkan otentikasi dua faktor Google, peneliti mengatakan

Peneliti dari penyedia otentikasi dua faktor Duo Security menemukan celah dalam sistem autentikasi Google yang memungkinkan mereka melewati verifikasi masuk 2 langkah perusahaan dengan menyalahgunakan kata sandi unik yang digunakan untuk menghubungkan aplikasi individu ke akun Google.

Menurut para peneliti Duo Security, Google memperbaiki kekurangannya pada 21 Februari, tetapi insiden tersebut menyoroti fakta bahwa sandi khusus aplikasi Google tidak memberikan perincian kontrol atas data akun.

Saat diaktifkan, sistem verifikasi 2 langkah Google memerlukan input kode unik di additio n ke kata sandi biasa akun untuk masuk. Ini dirancang untuk mencegah akun dibajak bahkan ketika kata sandi disusupi. Kode unik dapat diterima di nomor telepon yang dikaitkan dengan akun atau dapat dibuat menggunakan aplikasi ponsel cerdas.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Namun, hanya verifikasi 2 langkah berfungsi saat masuk melalui situs Google. Untuk mengakomodasi klien email desktop, program obrolan, aplikasi kalender, dan sebagainya, Google memperkenalkan konsep sandi khusus aplikasi (ASP). Ini adalah kata sandi yang dibuat secara acak yang memungkinkan aplikasi mengakses akun tanpa perlu faktor otentikasi kedua. ASP dapat dicabut kapan saja tanpa mengubah kata sandi utama akun.

Masalahnya adalah, "ASP adalah-dalam hal penegakan-tidak benar-benar spesifik-aplikasi sama sekali!" para peneliti Duo Security mengatakan Senin di posting blog. "Jika Anda membuat ASP untuk digunakan dalam (misalnya) klien obrolan XMPP, ASP yang sama itu juga dapat digunakan untuk membaca email Anda melalui IMAP, atau mengambil acara kalender Anda dengan CalDAV."

Para peneliti menemukan kesalahan dalam mekanisme masuk otomatis diterapkan di Chrome pada versi Android terbaru yang memungkinkan mereka menggunakan ASP untuk mendapatkan akses ke pemulihan akun Google dan pengaturan verifikasi 2 langkah.

Intinya, cacat dapat memungkinkan penyerang yang mencuri ASP untuk akun Google untuk mengubah nomor ponsel dan alamat email pemulihan yang terkait dengan akun itu atau bahkan menonaktifkan verifikasi 2 langkah sama sekali.

"Tidak diberi apa pun kecuali nama pengguna, ASP, dan satu permintaan ke //android.clients.google.com/auth, kami dapat masuk ke properti web Google apa pun tanpa permintaan masuk (atau verifikasi 2 langkah)! " kata peneliti Keamanan Duo. "Ini bukan lagi kasus pada 21 Februari, ketika para insinyur Google mendorong perbaikan untuk menutup celah ini."

Selain memperbaiki masalah ini, Google juga mengubah pesan yang ditampilkan setelah membuat kata sandi khusus aplikasi agar untuk memperingatkan pengguna bahwa "kata sandi ini memberikan akses lengkap ke Akun Google Anda."

"Kami pikir ini adalah lubang yang cukup signifikan dalam sistem otentikasi yang kuat jika pengguna masih memiliki beberapa bentuk 'sandi' yang cukup untuk mengambil alih penuh mengendalikan akunnya, "kata peneliti Duo Security. "Namun, kami masih yakin bahwa bahkan sebelum meluncurkan verifikasi 2 langkah Google yang memungkinkan perbaikan mereka benar-benar lebih baik daripada tidak melakukannya."

Karena itu, para peneliti ingin melihat Google menerapkan beberapa jenis mekanisme mirip dengan token OAuth yang memungkinkan membatasi hak istimewa dari setiap sandi khusus aplikasi individu.

Google tidak segera menanggapi permintaan untuk komentar tentang cacat ini atau kemungkinan rencana untuk menerapkan kontrol yang lebih terperinci untuk sandi khusus aplikasi di masa mendatang