Falha no Google expõe fraqueza na autenticação de dois fatores

Uma falha crítica recentemente descoberta no processo de autenticação de dois fatores para acessar os muitos serviços do Google reflete os riscos que esse mecanismo apresenta quando amplamente implantado. A Duo Security reportou a vulnerabilidade nesta semana, depois de notificar a gigante e dar tempo para que ela fosse corrigida.
O processo de autenticação de dois fatores permite o acesso de determinados dispositivos às contas de usuários do Google, para que não seja necessário logar com uma senha todas as vezes que eles queiram acessar os serviços online da companhia.
Por conta do duplo processo (que inclui senha e dispositivo) ser amplamente utilizado, o Google teve que fazer algumas compensações a fim de garantir conforto ao usuário.
Essas compensações eram esperadas, dada a forma como o Google está gradualmente transformando o seu ambiente de uma coleção de aplicativos individuais (cada um com seu próprio processo de autenticação), a um sistema único que funciona em todos os seus serviços, disse o co-fundador e diretor de tecnologia da Duo Security, Jon Oberheide.
“Implantar uma única infraestrutura, uma plataforma de login único, não é uma tarefa fácil”, disse.
Senhas de acesso
Um compromisso que o Google assumiu foi a criação de uma “senhas específicas para aplicações”, ou ASPs, disse a Duo Security. A empresa foi forçada a introduzir ASPs porque nem todas as aplicações que têm acesso à informação de contas de um usuário suportam o seu esquema de autenticação de dois fatores.
Alguns exemplos dessas aplicações incluem clientes de e-mail como o Outlook, Mail (da Apple) e o Thunderbird, clientes de chat e aplicativos de calendário.
Para obter esses aplicativos, a empresa criou uma página em que os usuários poderiam ir para gerar um ASP que autenticaria a aplicação e permitiria que ela continuasse a acessar os dados do usuário. As pessoas tinham que copiar e colar a senha gerada pelo Google em seus aplicativos.
Infelizmente para os usuários, o ASP também poderia ser usado para acessar quase todas as propriedades web do Google, incluindo as configurações de conta – onde algumas modificações dariam ao cracker controle completo, disse o engenheiro de segurança da Duo Security, Adam Goodman, no blog da empresa.
Garantindo a segurança
Em 21 de fevereiro, o Google liberou uma correção para permitir que apenas as pessoas que usam o processo de verificação de dois fatores regular pudessem ter acesso às configurações de segurança sigilosas.
O problema deixou os usuários do Google vulneráveis a ataques de phishing, em que um e-mail de spam redireciona destinatários a um site para enganá-los a divulgarem suas senhas.
Além disso, as pessoas que usam as mesmas senhas em vários sites também estariam vulneráveis, já que os crackers que invadem um banco de dados de senhas em um site muitas vezes as utilizam para invadir contas de outros serviços.
Como o Google gerou um ASP difícil de ser lembrado, era altamente improvável que as pessoas o utilizariam em outros sites, disse a Duo Security. No entanto, um invasor pode criar malwares capazes de encontrar e extrair um ASP no sistema de um usuário. “Além disso, aplicativos thick-client, o consumo primário de ASPs, são notoriamente conhecidos pela verificação fraca de certificados SSL, que permitem que ASPs sejam capturados via MitM [ataques man-in-the-middle]”, disse Goodman.
Enquanto a correção do Google reforça o seu processo de segurança de dois fatores, a Duo Security recomenda ir além e restringir, tanto quanto possível, os privilégios de ASPs individuais.
No entanto, dado o ambiente complexo do Google, ASPs provavelmente sempre terão acesso a mais de um serviço. “Com a autenticação de dois fatores, é difícil de acertar”, disse Oberheide. “Até mesmo o Google, com toda sua sabedoria e habilidade, pode cometer erros.”

Fonte: Antone Gonsalves, CSO / EUA

Esta entrada foi publicada em Sem categoria e marcada com a tag , . Adicione o link permanente aos seus favoritos.

Deixe uma resposta