Pesquisadores de segurança de Duo Security identificaram uma maneira de ignorar o sistema de autenticação de dois fatores do Google e alterar a senha principal de um usuário usando senha específica do aplicativo (ASP)
O Google exige que os usuários criem ASPs para aplicativos que não suportam as duas etapas de controle, como email para clientes ou aplicativos de telefone.
“Se você criar um ASP para usar, por exemplo, em um cliente de bate-papo XMPP, o mesmo ASP também poderá ser usado para ler seus e-mails ou ver os eventos que você agendou no seu calendário CalDAV”, diz ele. Adam Goodman, da Duo Security.
“Com os ASPs, podemos fazer muito, muito mais do que acessar os e-mails das vítimas. De fato, um ASP pode ser usado para conectar-se a quase todos os serviços da Web do Google e acessar interfaces privilegiadas, de forma que a verificação em duas etapas é ignorada! Goodman acrescentou.
Começando com uma pesquisa conduzida por Nikolay Elenkov, os especialistas conseguiram se conectar a qualquer serviço do Google com o nome de usuário, ASP e uma solicitação que fizeram para android.clients.google.com/auth.
Segundo especialistas, um invasor pode usar o ASP da vítima para acessar a página com opções de “recuperação de conta” e alterar a senha principal ou desativar completamente a verificação em duas etapas do Google, pois teve acesso total à conta da vítima.
Vale ressaltar que os ASPs criados pelo Google não exigem que os usuários os lembrem, pois as senhas são bastante complexas; portanto, não é fácil para os cibercriminosos obtê-los através de ataques de phishing. Por outro lado, as senhas geralmente são armazenadas como texto sem formatação em arquivos locais, o que significa que elas correm risco se o malware entrar no computador.
Detalhes técnicos dessa vulnerabilidade estão disponíveis no blog do Duo Security.
