Anwendungsspezifische Passwörter schwächen Googles Zwei-Faktor-Authentifizierung, sagen Forscher.

Forscher des Zwei-Faktor-Authentifizierungsanbieters Duo Security haben eine Lücke im Authentifizierungssystem von Google gefunden, mit der sie die 2-stufige Login-Verifizierung des Unternehmens umgehen konnten durch Missbrauch der eindeutigen Passwörter, die zum Verbinden einzelner Anwendungen mit Google-Konten verwendet werden.

Laut den Forschern von Duo Security hat Google den Fehler am 21. Februar behoben, aber der Vorfall zeigt, dass die anwendungsspezifischen Passwörter von Google nicht granular sind Kontrolle über Kontodaten.

Wenn aktiviert, erfordert das 2-Schritt-Verifizierungssystem von Google die Eingabe von eindeutigen Codes zusätzlich n auf das reguläre Passwort des Accounts zugreifen, um sich einzuloggen. Dies soll verhindern, dass Accounts entführt werden, selbst wenn das Passwort kompromittiert ist. Die eindeutigen Codes können entweder unter einer Telefonnummer empfangen werden, die mit dem Konto verknüpft ist, oder mit einer Smartphone-Anwendung generiert werden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Nur Bestätigung in zwei Schritten funktioniert, wenn Sie sich über die Google-Website anmelden. Um Desktop-E-Mail-Clients, Chat-Programme, Kalenderanwendungen usw. unterzubringen, führte Google das Konzept der anwendungsspezifischen Passwörter (ASPs) ein. Hierbei handelt es sich um nach dem Zufallsprinzip generierte Kennwörter, mit denen Anwendungen auf das Konto zugreifen können, ohne dass ein zweiter Authentifizierungsfaktor erforderlich ist. ASPs können jederzeit widerrufen werden, ohne das Hauptpasswort des Accounts zu ändern.

Das Problem ist, "ASPs sind - in Bezug auf die Durchsetzung - überhaupt nicht anwendungsspezifisch!" Die Forscher von Duo Security sagten Montag in einem Blogbeitrag. "Wenn Sie einen ASP zum Beispiel für einen XMPP-Chat-Client erstellen, kann dieser ASP auch dazu verwendet werden, Ihre E-Mails über IMAP zu lesen oder Ihre Kalenderereignisse mit CalDAV zu erfassen."

Die Forscher fanden einen Fehler in Der automatische Login-Mechanismus, der in Chrome in den neuesten Android-Versionen implementiert wurde, ermöglichte den Zugriff auf die Wiederherstellungs- und Bestätigungseinstellungen eines Google-Kontos über einen ASP.

Im Wesentlichen hätte der Fehler einem Angreifer erlaubt ein ASP für ein Google-Konto gestohlen hat, um die mit diesem Konto verknüpfte Handynummer und Wiederherstellungs-E-Mail-Adresse zu ändern oder sogar die Bestätigung in zwei Schritten zu deaktivieren.

"Nur ein Benutzername, ein ASP und eine einzige Anfrage an //android.clients.google.com/auth können wir uns ohne eine Anmeldeaufforderung (oder Bestätigung in zwei Schritten) in eine Google-Web-Property einloggen! " Die Forscher von Duo Security sagten. "Dies ist ab dem 21. Februar nicht mehr der Fall, als Google-Techniker einen Fix zum Schließen dieser Lücke leiteten."

Google behob das Problem offenbar nicht nur, indem er nach der Generierung eines anwendungsspezifischen Passworts auch die angezeigte Meldung änderte um Benutzer zu warnen, dass "dieses Passwort den vollständigen Zugriff auf Ihr Google-Konto gewährt".

"Wir glauben, dass es ein ziemlich bedeutendes Loch in einem starken Authentifizierungssystem ist, wenn ein Benutzer noch eine Form von" Passwort "hat, die ausreicht, um vollständig zu übernehmen Kontrolle über sein Konto ", sagten die Duo Security-Forscher. "Wir sind jedoch immer noch zuversichtlich, dass die Google-Bestätigung in zwei Schritten sogar noch vor der Einführung des Fixes eindeutig besser war als nicht."

Die Forscher möchten, dass Google einen Mechanismus implementiert ähnlich wie OAuth-Tokens, die die Berechtigungen jedes einzelnen anwendungsspezifischen Passworts einschränken könnten.

Google hat nicht sofort auf eine Anfrage nach einem Kommentar zu diesem Fehler oder möglichen Plänen zur Implementierung einer detaillierteren Steuerung für anwendungsspezifische Passwörter in der Zukunft reagiert.