  |
Za poslednú hodinu: 38 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Štvrtok, 5. marca 2026, dnes má meniny Fridrich |
|
Google mal zahanbujúcu zraniteľnosť priamo v dvojfaktorovom prihlasovaní
O zraniteľnosti v pondelok, po jej minulotýždňovom odstránení, informovala bezpečnostná spoločnosť Duo Bulletin, ktorá ju identifikovala. Dvojfaktorové prihlasovanie zavedené spoločnosťou Google ako voliteľné si dáva za cieľ zvýšiť bezpečnosť takýmto spôsobom chránených účtov. Dvojfaktorové prihlasovanie totiž okrem overovania niečoho čo užívateľ vie, hesla, overuje aj niečo čo užívateľ má, inicializovaný mobil generujúci jednorazové kódy. Ak útočník získa nejakým spôsobom heslo užívateľa, toto mu stále nestačí na získanie prístupu k účtu. Keďže dvojfaktorové prihlasovanie vyžadujúce overovanie kódov nepodporovali a zatiaľ nepodporujú všetky aplikácie využívané užívateľmi pre prístup ku Google účtom, Google podporuje aj vytvorenie viacerých tzv. hesiel špecifických pre aplikácie. Ide o Googlom vygenerované komplikované heslá, ktoré Google pri prístupe k niektorým službám cez niektoré rozhrania akceptuje bez potreby overenia aj cez kód. Tieto heslá ale neumožňujú respektíve by nemali umožňovať prístup napríklad do nastavení bezpečnosti na účte alebo k iným kriticky dôležitým nastaveniam. Ak útočník prípadne získa takéto heslo, môže síce pristupovať k dátam užívateľa, nemôže ale prevziať plnú kontrolu nad jeho účtom. Ak užívateľ následne identifikuje podozrivý prístup, špecifickému heslu jednoducho ukončí platnosť a útočníkovi tak zabráni ďalej pristupovať k svojmu účtu. Ako ale zistila spoločnosť Duo Bulletin, Google poskytoval API využívané webovým prehliadačom v Androide umožňujúce s pomocou takýchto špecifických hesiel získanie bezpečnostného tokenu použiteľného následne na plný prístup k účtu užívateľa. Útočník tak po získaní špecifického hesla mohol napríklad zmeniť hlavné heslo na účte a získať nad ním plnú kontrolu. Chyba samozrejme nemá taký vážny dopad ako odkazované zahanbujúce chyby v Skype od Microsoftu a ovládači pre Samsung Exynos 4 pre Android od Samsungu, keď útočník pre jej zneužitie musí najskôr získať špecifické heslo užívateľa. Zároveň už samotné získanie tohto hesla má vážne dôsledky v podobe prístupu útočníka k dátam. Z pohľadu návrhu logiky celého bezpečnostného mechanizmu dvojfaktorového prihlasovania ide ale o vážnu chybu podkopávajúcu celý princíp dvojfaktorového prihlasovania a evokujúcu otázky o kvalite procesu návrhu bezpečnosti v Google. Zároveň podľa Duo Bulletin bola chyba nahlásená a potvrdená Googlom už v júli minulého roka, spoločnosť ju ale opravila až minulý týždeň. Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
