Artykuły dotyczące tematu: token

dodany: 28.02.2013 | tagi: , , ,

Moda na obchodzenie zabezpieczeń trwa – tym razem Gmail

4

O ile do luk Apple już można było się przyzwyczaić, tak wpadka w Gmailu jest dość niemiła ze względu na większe niebezpieczeństwo. Okazuje się, że można przeskoczyć uznawane dotąd za superbezpieczne dwuetapowe uwierzytelnianie do usług Google. Jeśli atakujący obejdzie zabezpieczenia może oczywiście przejąć zupełnie kontrolę nad kontem ofiary poprzez zmianę głównego hasła!

Gdzie tkwi problem?

Ułomność leży w restrykcjach nadanych przez Google do weryfikacji dwuetapowej. Konkretnie chodzi tu o możliwość stworzenia unikalnego hasła do aplikacji (z ang. Application-Specific Password, w skrócie ASP), które możemy stworzyć na stronie autoryzacji aplikacji i witryn.

Widzimy tam ostrzeżenie:

autoryzowany dostęp do kont google

Nas interesuje pierwszy punkt:

Niektóre aplikacje działające poza przeglądarką nie są jeszcze zgodne z weryfikacją dwuetapową i nie można w nich podać kodu weryfikacyjnego, na przykład: Aplikacje na smartfonach, takich jak np. BlackBerry, iPhone, urządzenia z Androidem itd. gdyż to właśnie odkryli badacze z Duo Security – zauważyli oni, że nawet w przypadku najnowszej przeglądarki Chrome zintegrowanej z ostatnim wydaniem Androida w mechanizmie autologowania istnieje luka. Pozwala ona na dostęp do każdej strony Google, bez podawania loginu i hasła.

Po włączeniu dwuetapowej weryfikacji, Google z naszą pomocą tworzy indywidualne hasło do każdej aplikacji, której używamy, a która nie obsługuje dwuetapowego uwierzytelniania. Może to być nasz klient poczty wykorzystujący IMAP i  SMTP (np. popularny Thunderbird), czy programy czatowe korzystające z protokołu XMPP (np. Pidgin) albo synchronizacja kalendarza wykorzystującego CalDAV (np. iCal).

Po wszystkim otrzymujemy zestaw kilku różnych haseł ASP –  niestety tylko teoretycznie, gdyż za  pomocą pojedynczego rzekomo indywidualnego kodu jesteśmy w stanie uzyskać dostęp do większości aplikacji!

 

Znów winna jest opcja przywracania hasła

Teraz powracamy do Androida – Google w swojej przeglądarce dołączyło mechanizm autologowania do swoich usług.  Jeśli podłączyliśmy nasze urządzenie do konta Google, to dostęp z niego do usług Google pomija uwierzytelnienie.

Jeśli te warunki są spełnione, to możemy wykorzystać Opcje odzyskiwania konta, do której Google dopuszczało bez konieczności uwierzytelniania! Dzięki temu można było dodać czy też zmienić nr telefonu i e-mail, na który są wysyłane w razie potrzeby linki do resetu konta.

 

Od środka problemu

Jak zauważył inny badacz Nikolay Elenkov, hasło ASP teoretycznie jest zaszyfrowane 1024-bitowym algorytmem RSA. Jak się okazało wspomniane hasło stworzone za pomocą funkcji EncryptedPasswd jest faktycznie 130-bajtowym ciągiem, zakodowanym funkcją base64. Ten fakt wykorzystali pracownicy Duo Security, którzy za pomocą spreparowanego proksy podmienili parametr EncryptedPasswd na niezaszyfrowany (unencrypted) Passwd w  ClientLogin API, który ustawia nasze ASP:

Dzięki temu pracownicy uzyskali prawidłowy token do strony android.clients.google.com, który pozwolił na pełny dostęp do usług Google.

 

Co Google zrobiło w tej sprawie?

Problemy z ASP nie są świeże, gdyż Duo Security zauważyło je już w lipcu ubiegłego roku! Google co prawda stwierdziło istnienie problemu, ale uznało go za „spodziewane zachowanie”!

Na szczęście 21 lutego Google postanowiło, poprzez nacisk Duo Security, chronić istotne ustawienia konta za pomocą każdorazowego uwierzytelniania. Podczas ustawienia hasła ASP widzimy także ostrzeżenie, iż  uprawnia ono dostęp do naszego konta Google. Do tej pory można było zastosować powyższą sztuczkę przejęcia czyjegoś konta.

Niestety nadal niebezpieczeństwo korzystania z usług Google jest dość spore – wystarczy, że atakujący spreparuje malware wykradając hasło z komunikatora Pidgin, który trzyma je lokalnie w niezaszyfrowanej postawi w pliku XML.

dodany: 17.10.2012 | tagi: , ,

Tokenowy system autoryzacji PayPal nie taki bezpieczny

0

PayPal już dość dawno wprowadził dwupoziomowy system autoryzacji, który poza standardowym hasłem i loginem wykorzystuje token generowany przez urządzenie elektroniczne.

Kod tokena zmienia się co 30 sekund, co zabezpiecza przed nieautoryzowanym użyciem (np. kradzież/zgubienie urządzenia) oraz czyni potencjalne keyloggery bezużytecznymi. W zasadzie każde hasło jest jednorazowe.

Kolejną zaletą urządzenia jest to, że nie może ono zostać zainfekowane malwarem, w przeciwieństwie do naszego komputera.

Niestety, PayPal nie przemyślał wszystkiego – problem pojawia się wtedy, jeśli zapomnimy nasze główne hasło. Wtedy PayPal wysyła nam na maila jednorazowy link, który pozwala dokonać jego zmiany, co praktykuje wiele znanych portali. Sęk w tym, że w tym przypadku system nie pyta się o kod wygenerowany przez nasz osobisty token. Co więcej, będąc tak zalogowanym można dokonać płatności, a system dalej nie zapyta się o token.

W rezultacie każdy, kto będzie miał dostęp do naszego komputera, także  i maila, może w łatwy sposób wyczyścić nasze paypalowe konto, czego dowiódł Troy Cunningham, testując powyższy sposób na komputerze ojca.

Na razie problem ten nie dotyczy naszego kraju, gdyż rodzimy PayPal nie wprowadził jeszcze u nas tego systemu.