dodany: 28.02.2013 | tagi: , , ,

Autor:

Moda na obchodzenie zabezpieczeń trwa – tym razem Gmail

4

O ile do luk Apple już można było się przyzwyczaić, tak wpadka w Gmailu jest dość niemiła ze względu na większe niebezpieczeństwo. Okazuje się, że można przeskoczyć uznawane dotąd za superbezpieczne dwuetapowe uwierzytelnianie do usług Google. Jeśli atakujący obejdzie zabezpieczenia może oczywiście przejąć zupełnie kontrolę nad kontem ofiary poprzez zmianę głównego hasła!

Gdzie tkwi problem?

Ułomność leży w restrykcjach nadanych przez Google do weryfikacji dwuetapowej. Konkretnie chodzi tu o możliwość stworzenia unikalnego hasła do aplikacji (z ang. Application-Specific Password, w skrócie ASP), które możemy stworzyć na stronie autoryzacji aplikacji i witryn.

Widzimy tam ostrzeżenie:

autoryzowany dostęp do kont google

Nas interesuje pierwszy punkt:

Niektóre aplikacje działające poza przeglądarką nie są jeszcze zgodne z weryfikacją dwuetapową i nie można w nich podać kodu weryfikacyjnego, na przykład: Aplikacje na smartfonach, takich jak np. BlackBerry, iPhone, urządzenia z Androidem itd. gdyż to właśnie odkryli badacze z Duo Security – zauważyli oni, że nawet w przypadku najnowszej przeglądarki Chrome zintegrowanej z ostatnim wydaniem Androida w mechanizmie autologowania istnieje luka. Pozwala ona na dostęp do każdej strony Google, bez podawania loginu i hasła.

Po włączeniu dwuetapowej weryfikacji, Google z naszą pomocą tworzy indywidualne hasło do każdej aplikacji, której używamy, a która nie obsługuje dwuetapowego uwierzytelniania. Może to być nasz klient poczty wykorzystujący IMAP i  SMTP (np. popularny Thunderbird), czy programy czatowe korzystające z protokołu XMPP (np. Pidgin) albo synchronizacja kalendarza wykorzystującego CalDAV (np. iCal).

Po wszystkim otrzymujemy zestaw kilku różnych haseł ASP –  niestety tylko teoretycznie, gdyż za  pomocą pojedynczego rzekomo indywidualnego kodu jesteśmy w stanie uzyskać dostęp do większości aplikacji!

 

Znów winna jest opcja przywracania hasła

Teraz powracamy do Androida – Google w swojej przeglądarce dołączyło mechanizm autologowania do swoich usług.  Jeśli podłączyliśmy nasze urządzenie do konta Google, to dostęp z niego do usług Google pomija uwierzytelnienie.

Jeśli te warunki są spełnione, to możemy wykorzystać Opcje odzyskiwania konta, do której Google dopuszczało bez konieczności uwierzytelniania! Dzięki temu można było dodać czy też zmienić nr telefonu i e-mail, na który są wysyłane w razie potrzeby linki do resetu konta.

 

Od środka problemu

Jak zauważył inny badacz Nikolay Elenkov, hasło ASP teoretycznie jest zaszyfrowane 1024-bitowym algorytmem RSA. Jak się okazało wspomniane hasło stworzone za pomocą funkcji EncryptedPasswd jest faktycznie 130-bajtowym ciągiem, zakodowanym funkcją base64. Ten fakt wykorzystali pracownicy Duo Security, którzy za pomocą spreparowanego proksy podmienili parametr EncryptedPasswd na niezaszyfrowany (unencrypted) Passwd w  ClientLogin API, który ustawia nasze ASP:

Dzięki temu pracownicy uzyskali prawidłowy token do strony android.clients.google.com, który pozwolił na pełny dostęp do usług Google.

 

Co Google zrobiło w tej sprawie?

Problemy z ASP nie są świeże, gdyż Duo Security zauważyło je już w lipcu ubiegłego roku! Google co prawda stwierdziło istnienie problemu, ale uznało go za „spodziewane zachowanie”!

Na szczęście 21 lutego Google postanowiło, poprzez nacisk Duo Security, chronić istotne ustawienia konta za pomocą każdorazowego uwierzytelniania. Podczas ustawienia hasła ASP widzimy także ostrzeżenie, iż  uprawnia ono dostęp do naszego konta Google. Do tej pory można było zastosować powyższą sztuczkę przejęcia czyjegoś konta.

Niestety nadal niebezpieczeństwo korzystania z usług Google jest dość spore – wystarczy, że atakujący spreparuje malware wykradając hasło z komunikatora Pidgin, który trzyma je lokalnie w niezaszyfrowanej postawi w pliku XML.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

4 odpowiedzi na “Moda na obchodzenie zabezpieczeń trwa – tym razem Gmail”

  1. avatar Dmati pisze:

    Pewnie stąd teraz do Google trzeba się logować po każdorazowym zamknięciu przeglądarki :)

  2. avatar Rocik pisze:

    Tylko wina już niestety po stronie tych programów. Google nic nie poradzi na to, że Pidgin czy inny komunikator/klient poczty/coś tam nie szyfruje haseł.

    • avatar Michał pisze:

      Jest na to rozwiązanie.
      Hasło wygenerowane poprzez ASP powinno dawać dostęp tylko do wybranych funkcji a nie całego konta.

  3. avatar Rocik pisze:

    Najbardziej irytuje mnie to w FileZilla. Fajny program który noszę na pendrivie. Jeden z kluczowych programów który zmusił mnie to korzystania z TrueCrypt.

Pozostaw odpowiedź Michał Anuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *