O Duo Security ignorou a verificação em duas etapas do Google

Pesquisadores de segurança de Duo Security identificaram uma maneira de ignorar o sistema de autenticação de dois fatores do Google e alterar a senha principal de um usuário usando senha específica do aplicativo (ASP)

O Google exige que os usu√°rios criem ASPs para aplicativos que n√£o suportam as duas etapas de controle, como email para clientes ou aplicativos de telefone.

segurança

“Se voc√™ criar um ASP para usar, por exemplo, em um cliente de bate-papo XMPP, o mesmo ASP tamb√©m poder√° ser usado para ler seus e-mails ou ver os eventos que voc√™ agendou no seu calend√°rio CalDAV”, diz ele. Adam Goodman, da Duo Security.

“Com os ASPs, podemos fazer muito, muito mais do que acessar os e-mails das v√≠timas. De fato, um ASP pode ser usado para conectar-se a quase todos os servi√ßos da Web do Google e acessar interfaces privilegiadas, de forma que a verifica√ß√£o em duas etapas √© ignorada! Goodman acrescentou.

Começando com uma pesquisa conduzida por Nikolay Elenkov, os especialistas conseguiram se conectar a qualquer serviço do Google com o nome de usuário, ASP e uma solicitação que fizeram para android.clients.google.com/auth.

Segundo especialistas, um invasor pode usar o ASP da v√≠tima para acessar a p√°gina com op√ß√Ķes de “recupera√ß√£o de conta” e alterar a senha principal ou desativar completamente a verifica√ß√£o em duas etapas do Google, pois teve acesso total √† conta da v√≠tima.

Vale ressaltar que os ASPs criados pelo Google não exigem que os usuários os lembrem, pois as senhas são bastante complexas; portanto, não é fácil para os cibercriminosos obtê-los através de ataques de phishing. Por outro lado, as senhas geralmente são armazenadas como texto sem formatação em arquivos locais, o que significa que elas correm risco se o malware entrar no computador.

Detalhes técnicos dessa vulnerabilidade estão disponíveis no blog do Duo Security.