网络安全专家警告不要使用流行的电话尤其是 三星? Samsung ?
启用后,Google的两步验证系统需要添加唯一代码n登录到帐户的常规密码以便登录。这旨在防止帐户被盗用,即使密码被泄露也是如此。可以通过与帐户关联的电话号码接收唯一代码,也可以使用智能手机应用程序生成唯一代码。
[更多内容:如何从Windows PC删除恶意软件]
但是,仅限两步验证在通过Google网站登录时有效。为了适应桌面电子邮件客户端,聊天程序,日历应用程序等,Google引入了应用程序专用密码(ASP)的概念。这些是随机生成的密码,允许应用程序在不需要第二个身份验证因素的情况下访问帐户。 ASP可以在任何时候被撤销而不需要改变账户的主密码
问题是,“ASP在实施方面 - 实际上并不是特定于应用程序!” Duo Security研究人员周一在一篇博客文章中称。 “如果你创建了一个用于XMPP聊天客户端的ASP,那么同样的ASP也可以用来通过IMAP读取你的电子邮件,或者用CalDAV获取你的日历事件。”
研究人员发现了一个缺陷在Chrome的最新版本的Android中实现的自动登录机制允许他们使用ASP访问Google帐户的恢复和两步验证设置。
从本质上讲,这个缺陷可能允许攻击者盗取Google帐户的ASP以更改与该帐户相关联的手机号码和辅助邮箱地址,甚至完全禁用两步验证
“除了用户名,ASP和https: //android.clients.google.com/auth,我们可以在没有任何登录提示(或两步验证)的情况下登录到任何Google网络媒体资源!“ Duo Security研究人员表示。 “截至2月21日,Google工程师推出修补程序来弥补这一漏洞已不再是这种情况。”
除了解决问题之外,谷歌显然还改变了在生成应用程序专用密码后显示的消息以警告用户“此密码授予您完全访问您的Google帐户的权限”。
“如果用户仍然有某种形式的”密码“足以接管完整身份,我们认为这是强身份验证系统中相当重要的漏洞控制他的账户,“Duo Security研究人员说。 “但是,我们仍然相信,甚至在推出修补程序之前,Google的两步验证明显比不这样做更好。”
也就是说,研究人员希望Google实施某种机制类似于OAuth令牌,可以限制每个应用程序专用密码的特权。
Google没有立即回应有关此漏洞的评论请求,也没有可能计划在将来为应用程序专用密码实施更细化的控制