パスワードを忘れた? アカウント作成
7658502 story
Google

Googleの2段階認証を突破する方法が発見される 19

ストーリー by hylom
ただし修正済み 部門より
あるAnonymous Coward 曰く、

Googleアカウントへの不正アクセスを防ぐ方法として「2段階認証」がある。2段階認証ではログイン時にユーザー名およびパスワードに加え、携帯電話に送信されたパスコードが要求されるというものだ。しかし、これをを回避する方法がDuo Securityによって発見された本家/.)。

幸いDuo Securityは良心的なチームだったため、この問題はGoogleのセキュリティチームへ報告され修正された。しかし一度は仕様だと断り、修正に半年もかかったという。このプロセスは改善してほしいところである。

発見された手法は、「アプリケーション固有のパスワード(ASP)」を利用するもの。GmailやGoogleカレンダーなどにアクセスする一部アプリケーションでは2段階認証が利用できないため、Googleはそれらのアプリケーション向けに専用のパスワードであるASPを生成する方法を用意している。しかし、このASPを使った認証プロセスには、本来は認証に必要であるはずのASPを利用しなくとも、ユーザー名とパスワードのみで認証に成功できるという不具合があったそうだ。さらに、ASPを使ってアクセスした場合でも、Googleの提供する全サービスに制限無しにアクセスできるという点も問題だったという。

Duo Securityのブログでは、Androidの標準Webブラウザに用意されている「自動ログイン」機能とGoogleのWebサイトから行える「パスワードのリセット」を併用することで、2段階認証無しにGoogleアカウントの全権限を奪取する手法が紹介されている。

なお、この問題は先週に修正されたとのこと。ただし、最初の報告から修正までは7か月もかかったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年02月27日 15時12分 (#2333624)

    仕様だと言われたので公開する!(キリッ)とかあったのかね?

    真っ黒けの会社ならgoogleに言わなくて、手口を売っちゃうか。

  • by Anonymous Coward on 2013年02月27日 15時20分 (#2333631)

    という言葉を贈りたい

    • by Anonymous Coward on 2013年02月27日 16時15分 (#2333659)

      Googleはポリシーもプロダクトも「天才肌」な感じですね。

      Java脆弱性のように計算機科学的なバグにはめっぽう強いですけど、
      仕様そのものの論理的な誤りには一般人以上の無頓着さであたり、
      それを指摘されても仕様と開き直り突き返す傲岸さがある。

      もっととがっていた数年前のGoogleであれば、
      「そういう使い方もある。2段階認証が面倒なときはASPでもいい」
      とか言ってそうな気がしました。

      親コメント
      • by Anonymous Coward

        > Googleはポリシーもプロダクトも「天才肌」な感じですね。

        脆弱性の指摘を一度は「仕様」で突っぱねたあたり、
        窓口は道理や理屈なんて知ったこっちゃ無く、ただただマニュアル通りに処理する、極めて「一般企業的な」雰囲気が伺えますね。

        # 「脆弱性の指摘」は種類としては「違法性の指摘」と同じで、
        # 仕様か否か、故意か否かと言った事情とは全く無関係に対応しなければならないよね。

        • by Anonymous Coward

          自分で思うほど頭がいいわけではない連中の集まりという印象
          他所と比較してどうかはともかく

          • by Anonymous Coward

            彼らの自己評価が分かるなんてエスパーですか。

            優秀(と見なされている)な人を引きずり落とそうとする人ってよく見ますが、
            貴方の能力には関係ないし、見苦しいですよ。他にやるべきことがあるでしょ。

            # 日本は飛びぬけた人を褒めず、粗を探そうとするよね。
            # 一種の謙虚さの強要なのかもしれんが。

    • by Anonymous Coward

      朱に交われば真っ赤っ赤
      がいいと思うぞよ

  • by Anonymous Coward on 2013年02月27日 16時10分 (#2333658)

    ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?

    • 2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。

      親コメント
      • なるほど。

        ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨て
        パスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は
        廃棄するのが基本。

        アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、
        第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。

        #フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる
        #パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。

        親コメント
        • by Anonymous Coward

          まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。

          • by Anonymous Coward

            誤変換も含め、なにを言ってるかマジで分からん。

            • by Anonymous Coward

              disる(=ディスる)態(てい) → ののしるありさま

    • by Anonymous Coward on 2013年02月27日 17時21分 (#2333709)

      (1) ユーザー名とアプリ固有パスワードのセットを何らかの方法で盗む
      (2) Googleのログイン系のバグを付き、(1) で得た情報だけからセキュリティ設定を呼び出せる
      (3) セキュリティ設定でパスワードリセット用のリンクを送るバックアップメールアドレスを設定
      (4) パスワードリセットする
      (5) アカウントを乗っ取ってウハウハする

      親コメント
    • by Anonymous Coward

      2段階認証を有効にした場合のログイン方法と権限

      本当のパスワードのみ => 拒否
      本当のパスワード+ワンタイムキー => 全権
      アプリ固有パスワード => 制限付き

      のはずが

      本当のパスワードのみ => 全権(バグ)
      本当のパスワード+ワンタイムキー => 全権
      アプリ固有パスワード => 全権(バグ)

      ってことじゃないか?

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...