Artykuły dotyczące tematu: dwuetapowe uwierzytelnianie

dodany: 22.03.2013 | tagi: , ,

Apple wprowadza dwuetapowe uwierzytelnianie dla Apple ID

1

Apple postanowiło dodać dodatkową warstwę zabezpieczeń dla swojego systemu Apple ID wzmacniająca hasło, którego użytkownicy używają do logowania się w różnych usługach Apple.

Użytkownicy posiadający Apple ID mogą teraz wybrać dwuetapowe uwierzytelnianie dla ich hasła, które będzie polegać na wysłaniu czterocyfrowego kodu dostępu za pomocą SMS-a na przypisany do konta numer telefonu.

dwustopniowa_weryfikacja_apple

 

Podjęcie decyzji o wprowadzeniu dwuetapowego uwierzytelniania ma miejsce prawie rok po słynnej kradzieży konta Marka Honana, samo Apple o nowej usłudze mówi tak:

Apple traktuje prywatność swoich klientów bardzo poważnie, a dwuetapowe uwierzytelnienie jest sprawdzonym procesem, który zapewni naszym użytkownikom bezpieczne przechowywanie danych. Obecnie nasi klienci mają możliwość wyboru dwuetapowego uwierzytelniania jako dodatkowego zabezpieczenia.

Na razie funkcja została udostępniona dla klientów Apple w USA, Wielkiej Brytanii, Australii i Nowej Zelandii.

dodany: 28.02.2013 | tagi: , , ,

Moda na obchodzenie zabezpieczeń trwa – tym razem Gmail

4

O ile do luk Apple już można było się przyzwyczaić, tak wpadka w Gmailu jest dość niemiła ze względu na większe niebezpieczeństwo. Okazuje się, że można przeskoczyć uznawane dotąd za superbezpieczne dwuetapowe uwierzytelnianie do usług Google. Jeśli atakujący obejdzie zabezpieczenia może oczywiście przejąć zupełnie kontrolę nad kontem ofiary poprzez zmianę głównego hasła!

Gdzie tkwi problem?

Ułomność leży w restrykcjach nadanych przez Google do weryfikacji dwuetapowej. Konkretnie chodzi tu o możliwość stworzenia unikalnego hasła do aplikacji (z ang. Application-Specific Password, w skrócie ASP), które możemy stworzyć na stronie autoryzacji aplikacji i witryn.

Widzimy tam ostrzeżenie:

autoryzowany dostęp do kont google

Nas interesuje pierwszy punkt:

Niektóre aplikacje działające poza przeglądarką nie są jeszcze zgodne z weryfikacją dwuetapową i nie można w nich podać kodu weryfikacyjnego, na przykład: Aplikacje na smartfonach, takich jak np. BlackBerry, iPhone, urządzenia z Androidem itd. gdyż to właśnie odkryli badacze z Duo Security – zauważyli oni, że nawet w przypadku najnowszej przeglądarki Chrome zintegrowanej z ostatnim wydaniem Androida w mechanizmie autologowania istnieje luka. Pozwala ona na dostęp do każdej strony Google, bez podawania loginu i hasła.

Po włączeniu dwuetapowej weryfikacji, Google z naszą pomocą tworzy indywidualne hasło do każdej aplikacji, której używamy, a która nie obsługuje dwuetapowego uwierzytelniania. Może to być nasz klient poczty wykorzystujący IMAP i  SMTP (np. popularny Thunderbird), czy programy czatowe korzystające z protokołu XMPP (np. Pidgin) albo synchronizacja kalendarza wykorzystującego CalDAV (np. iCal).

Po wszystkim otrzymujemy zestaw kilku różnych haseł ASP –  niestety tylko teoretycznie, gdyż za  pomocą pojedynczego rzekomo indywidualnego kodu jesteśmy w stanie uzyskać dostęp do większości aplikacji!

 

Znów winna jest opcja przywracania hasła

Teraz powracamy do Androida – Google w swojej przeglądarce dołączyło mechanizm autologowania do swoich usług.  Jeśli podłączyliśmy nasze urządzenie do konta Google, to dostęp z niego do usług Google pomija uwierzytelnienie.

Jeśli te warunki są spełnione, to możemy wykorzystać Opcje odzyskiwania konta, do której Google dopuszczało bez konieczności uwierzytelniania! Dzięki temu można było dodać czy też zmienić nr telefonu i e-mail, na który są wysyłane w razie potrzeby linki do resetu konta.

 

Od środka problemu

Jak zauważył inny badacz Nikolay Elenkov, hasło ASP teoretycznie jest zaszyfrowane 1024-bitowym algorytmem RSA. Jak się okazało wspomniane hasło stworzone za pomocą funkcji EncryptedPasswd jest faktycznie 130-bajtowym ciągiem, zakodowanym funkcją base64. Ten fakt wykorzystali pracownicy Duo Security, którzy za pomocą spreparowanego proksy podmienili parametr EncryptedPasswd na niezaszyfrowany (unencrypted) Passwd w  ClientLogin API, który ustawia nasze ASP:

Dzięki temu pracownicy uzyskali prawidłowy token do strony android.clients.google.com, który pozwolił na pełny dostęp do usług Google.

 

Co Google zrobiło w tej sprawie?

Problemy z ASP nie są świeże, gdyż Duo Security zauważyło je już w lipcu ubiegłego roku! Google co prawda stwierdziło istnienie problemu, ale uznało go za „spodziewane zachowanie”!

Na szczęście 21 lutego Google postanowiło, poprzez nacisk Duo Security, chronić istotne ustawienia konta za pomocą każdorazowego uwierzytelniania. Podczas ustawienia hasła ASP widzimy także ostrzeżenie, iż  uprawnia ono dostęp do naszego konta Google. Do tej pory można było zastosować powyższą sztuczkę przejęcia czyjegoś konta.

Niestety nadal niebezpieczeństwo korzystania z usług Google jest dość spore – wystarczy, że atakujący spreparuje malware wykradając hasło z komunikatora Pidgin, który trzyma je lokalnie w niezaszyfrowanej postawi w pliku XML.