Le password specifiche dell'applicazione indeboliscono l'autenticazione a due fattori di Google, affermano i ricercatori

I ricercatori del provider di autenticazione a due fattori Duo Security hanno trovato una scappatoia nel sistema di autenticazione di Google che ha permesso loro di aggirare la verifica di accesso in due fasi dell'azienda abusando delle password univoche utilizzate per connettere le singole applicazioni agli account Google.

Secondo i ricercatori di Duo Security, Google ha corretto il problema il 21 febbraio, ma l'incidente evidenzia il fatto che le password specifiche dell'applicazione di Google non forniscono granulare controllo dei dati dell'account.

Se abilitato, il sistema di verifica in due passaggi di Google richiede l'inserimento di codici univoci in aggiunta n alla password normale dell'account per accedere. È progettato per impedire che gli account vengano compromessi anche quando la password è compromessa. I codici univoci possono essere ricevuti al numero di telefono associato all'account o possono essere generati utilizzando un'applicazione per smartphone.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Tuttavia, solo la verifica in due passaggi funziona quando si accede tramite il sito di Google. Per poter ospitare client di posta elettronica desktop, programmi di chat, applicazioni di calendario e così via, Google ha introdotto il concetto di password specifiche per le applicazioni (ASP). Si tratta di password generate casualmente che consentono alle applicazioni di accedere all'account senza la necessità di un secondo fattore di autenticazione. Gli ASP possono essere revocati in qualsiasi momento senza modificare la password principale dell'account.

Il problema è che "gli ASP sono in termini di applicazione, in realtà non specifici per l'applicazione!" i ricercatori della Duo Security hanno detto lunedì in un post sul blog. "Se crei un ASP da utilizzare (per esempio) in un client di chat XMPP, lo stesso ASP può anche essere usato per leggere la tua email su IMAP, o prendere gli eventi del calendario con CalDAV."

I ricercatori hanno scoperto un difetto il meccanismo di accesso automatico implementato in Chrome nelle ultime versioni di Android che consentiva loro di utilizzare un ASP per accedere al ripristino dell'account Google e alle impostazioni di verifica in due passaggi.

In sostanza, il difetto avrebbe potuto consentire a un utente malintenzionato ha rubato un ASP per un account Google per modificare il numero di cellulare e l'indirizzo email di recupero associati a tale account o addirittura disabilitare completamente la verifica in due passaggi.

"Dato solo un nome utente, un ASP e una singola richiesta a //android.clients.google.com/auth, possiamo accedere a qualsiasi proprietà web di Google senza alcun prompt di accesso (o verifica in due passaggi)! " i ricercatori della Duo Security hanno detto. "Questo non è più il caso del 21 febbraio, quando gli ingegneri di Google hanno inserito una soluzione per colmare questa lacuna."

Oltre a risolvere il problema, Google ha modificato anche il messaggio visualizzato dopo aver generato una password specifica per l'applicazione in ordine per avvisare gli utenti che "questa password garantisce l'accesso completo al tuo account Google."

"Riteniamo che sia un buco piuttosto significativo in un sistema di autenticazione forte se un utente ha ancora una qualche forma di 'password' sufficiente per occupare completamente controllo del suo account ", hanno detto i ricercatori della Duo Security. "Tuttavia, siamo ancora sicuri che, anche prima di implementare la correzione, la verifica in due passaggi di Google è stata inequivocabilmente migliore rispetto a non farlo".

Detto questo, i ricercatori vorrebbero che Google implementasse una sorta di meccanismo simile ai token OAuth che consentirebbero di limitare i privilegi di ogni singola password specifica per l'applicazione.

Google non ha risposto immediatamente a una richiesta di commento su questa falla o possibili piani per implementare un controllo più granulare per password specifiche dell'applicazione in futuro.