Video: 🤔 Como recuperar Google Authenticator (2FA) Aclarando dudas!!! [UtilparaTodos] (Noviembre 2024)
SAN FRANCISCO - Los investigadores pudieron usar contraseñas específicas de la aplicación para evitar la autenticación de dos factores de Google y obtener el control total sobre la cuenta de Gmail de un usuario.
La Conferencia de Seguridad RSA 2013 comienza en serio mañana por la mañana, pero muchos de los asistentes a la conferencia ya estaban dando vueltas en el Centro Moscone de San Francisco para entablar conversaciones en la Cumbre de la Alianza de Seguridad de la Nube y el Panel del Grupo de Computación de Confianza. Otros entablaron conversaciones sobre una amplia variedad de temas relacionados con la seguridad con otros asistentes. La publicación de esta mañana de Duo Security sobre cómo los investigadores habían encontrado una manera de evitar la autenticación de dos factores de Google fue un tema de discusión común esta mañana.
Google permite a los usuarios activar la autenticación de dos factores en su cuenta de Gmail para una mayor seguridad y generar tokens de acceso especiales para aplicaciones que no admiten la verificación en dos pasos. Los investigadores de Duo Security encontraron una manera de abusar de esas fichas especiales para eludir por completo el proceso de dos factores, escribió Adam Goodman, ingeniero de seguridad principal de Duo Security. Duo Security notificó a Google los problemas y la compañía "implementó algunos cambios para mitigar las amenazas más graves", escribió Goodman.
"Creemos que es un agujero bastante significativo en un sistema de autenticación fuerte si un usuario todavía tiene algún tipo de 'contraseña' que es suficiente para tomar el control total de su cuenta", escribió Goodman.
Sin embargo, también dijo que tener una autenticación de dos factores, incluso con este defecto, era "inequívocamente mejor" que simplemente confiar en una combinación normal de nombre de usuario / contraseña.
El problema con las ASP
La autenticación de dos factores es una buena manera de proteger las cuentas de los usuarios, ya que requiere algo que usted sepa (la contraseña) y algo que tenga (un dispositivo móvil para obtener el código especial). Los usuarios que han activado dos factores en sus cuentas de Google deben ingresar sus credenciales de inicio de sesión normales y luego la contraseña especial de un solo uso que se muestra en su dispositivo móvil. La contraseña especial puede ser generada por una aplicación en el dispositivo móvil o enviada por mensaje SMS, y es específica del dispositivo. Esto significa que el usuario no necesita preocuparse por generar un nuevo código cada vez que inicie sesión, sino cada vez que inicie sesión desde un nuevo dispositivo. Sin embargo, para mayor seguridad, el código de autenticación caduca cada 30 días.
Gran idea e implementación, pero Google tuvo que hacer "algunos compromisos", como las contraseñas específicas de la aplicación, para que los usuarios puedan seguir utilizando aplicaciones que no admiten la verificación en dos pasos, señaló Goodman. Las ASP son tokens especializados generados para cada aplicación (de ahí el nombre) que los usuarios ingresan en lugar de la combinación de contraseña / token. Los usuarios pueden usar ASP para clientes de correo electrónico como Mozilla Thunderbird, clientes de chat como Pidgin y aplicaciones de calendario. Las versiones anteriores de Android tampoco admiten dos pasos, por lo que los usuarios tuvieron que usar ASP para iniciar sesión en teléfonos y tabletas más antiguos. Los usuarios también pueden revocar el acceso a su cuenta de Google deshabilitando la ASP de esa aplicación.
Duo Security descubrió que las ASP en realidad no eran específicas de la aplicación, después de todo, y podían hacer más que simplemente capturar el correo electrónico sobre el protocolo IMAP o los eventos de calendario usando CalDev. De hecho, un código podría usarse para iniciar sesión en casi cualquiera de las propiedades web de Google gracias a una nueva función de "inicio de sesión automático" introducida en las versiones recientes de Android y Chrome OS. El inicio de sesión automático permitía a los usuarios que vinculaban sus dispositivos móviles o Chromebooks a sus cuentas de Google acceder automáticamente a todas las páginas relacionadas con Google en la Web sin tener que ver otra página de inicio de sesión.
Con esa ASP, alguien podría ir directamente a la "Página de recuperación de cuenta" y editar las direcciones de correo electrónico y los números de teléfono donde se envían los mensajes de restablecimiento de contraseña.
"Esto fue suficiente para darnos cuenta de que las ASP presentaban algunas amenazas de seguridad sorprendentemente graves", dijo Goodman.
Duo Security interceptó una ASP analizando las solicitudes enviadas desde un dispositivo Android a los servidores de Google. Si bien un esquema de phishing para interceptar ASP probablemente tendría una baja tasa de éxito, Duo Security especuló que el malware podría diseñarse para extraer ASP almacenadas en el dispositivo o aprovechar la pobre verificación del certificado SSL para interceptar ASP como parte de una intrusión El ataque del medio.
Si bien las soluciones de Google abordan los problemas encontrados, "nos encantaría ver a Google implementar algunos medios para restringir aún más los privilegios de las ASP individuales", escribió Goodman.
Para ver todas las publicaciones de nuestra cobertura RSA, consulte nuestra página Mostrar informes.
