Google의 2 중 인증을 약화시키는 애플리케이션 별 비밀번호 연구원은

이중 인증 공급자 인 Duo Security의 연구원은 Google의 인증 시스템에서 회사의 2 단계 로그인 인증을 우회 할 수있는 허점을 발견했습니다. 개별 애플리케이션을 Google 계정에 연결하는 데 사용 된 고유 한 암호를 악용하여 악의적 인 공격을 시도했습니다.

Google은 Duo Security 연구원에 따르면 2 월 21 일에 결함을 수정했지만이 사건은 Google의 응용 프로그램 별 암호가 세밀한 계정 데이터를 제어합니다.

사용하도록 설정하면 Google의 2 단계 인증 시스템에서 추가 코드에 고유 코드를 입력해야합니다 n을 로그인하기 위해 계정의 일반 비밀번호로 변경하십시오. 이는 비밀번호가 도용 된 경우에도 계정이 도용되지 않도록하기위한 것입니다. 고유 한 코드는 계정과 연결된 전화 번호로 수신하거나 스마트 폰 응용 프로그램을 사용하여 생성 할 수 있습니다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

그러나 2 단계 인증 만 Google 사이트를 통해 로그인 할 때 작동합니다. 데스크톱 전자 메일 클라이언트, 채팅 프로그램, 캘린더 응용 프로그램 등을 수용하기 위해 Google은 응용 프로그램 별 암호 (ASP) 개념을 도입했습니다. 이것은 응용 프로그램이 두 번째 인증 요소없이 계정에 액세스 할 수 있도록 무작위로 생성 된 암호입니다. 계정의 기본 비밀번호를 변경하지 않고도 언제든지 ASP를 철회 할 수 있습니다.

문제는 "ASP는 시행의 측면에서 - 실제로 애플리케이션 별이 아닙니다!"입니다. 듀오 보안 연구원은 월요일 블로그 포스트에서 말했다. "(예를 들어) XMPP 채팅 클라이언트에서 사용할 ASP를 만들면 동일한 ASP를 사용하여 IMAP을 통해 이메일을 읽거나 CalDAV로 캘린더 일정을 잡을 수 있습니다."

Chrome에서 Android의 최신 버전으로 구현 된 자동 로그인 메커니즘으로 ASP를 사용하여 Google 계정의 복구 및 2 단계 인증 설정에 액세스 할 수 있습니다.

본질적으로이 결함으로 인해 Google 계정 용 ASP를 훔쳐서 해당 계정과 연결된 휴대 전화 번호 및 복구 이메일 주소를 변경하거나 2 단계 인증을 완전히 사용 중지합니다.

"사용자 이름, ASP 및 https: //android.clients.google.com/auth, 로그인 프롬프트 (또는 2 단계 인증)없이 Google 웹 속성에 로그인 할 수 있습니다. " 듀오 보안 연구원은 말했다. "Google 엔지니어들이이 허점을 닫기위한 수정을 요청한 2 월 21 일을 기해 더 이상이 사건은 발생하지 않습니다."

문제를 해결하는 것 외에도 Google은 응용 프로그램 전용 암호를 생성 한 후에 표시되는 메시지를 순서대로 변경했습니다 "이 비밀번호는 귀하의 Google 계정에 대한 완전한 액세스 권한을 부여합니다."라고 사용자에게 경고합니다. 사용자가 여전히 전체를 대신 할 수있는 '비밀번호'형식을 사용하면 강력한 인증 시스템에 상당히 중요한 구멍이 있다고 생각합니다. 듀오 시큐리티 (Duo Security) 연구원은 " "그러나 우리는 여전히 구글의 2 단계 검증을 수정하기 전에는 그렇게하지 않는 것보다는 낫지 않다고 확신한다"고 말했다.

그러나 연구원들은 구글이 어떤 종류의 메커니즘을 구현하는 것을보고 싶어한다고 말했다. 모든 개별 애플리케이션 비밀번호의 권한을 제한 할 수있는 OAuth 토큰과 유사합니다.

Google은이 결함에 대한 의견 요청에 즉시 응답하지 않았으며 향후 애플리케이션 별 비밀번호에 대해보다 세부적인 제어를 구현할 계획을 가지고 있지 않습니다..