• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Google corrige un fallo en su doble factor de autenticación

    Google corrige un fallo en su doble factor de autenticación La empresa Duo Security hizo público un sistema a través del cual un atacante podía saltar el sistema de doble factor de autenticación de Google ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Mensaje Google corrige un fallo en su doble factor de autenticación

      Google corrige un fallo en su doble factor de autenticación



      La empresa Duo Security hizo público un sistema a través del cual un atacante podía saltar el sistema de doble factor de autenticación de Google para robar una cuenta de otra persona. La vulnerabilidad ya fue corregida por Google previamente a dicha publicación.

      Una vez logueado en los servicios de Google, se suelen generar contraseñas para cada aplicación que no use el doble factor de autenticación, lo que viene siendo un ASP o application-specific password. Estos ASP no tienen acceso a la cuenta de Google a través del doble factor de autenticación por lo que en principio no suponen un grave riesgo en caso de ser interceptados.

      En este escenario tenemos que los usuarios iban creando ASP para aplicaciones como thunderbird, apple mail, ical... lo que descubrió Duo Security es que estos ASP se podían utilizar para acceder a casi todos los servicios web de Google, accediendo a la configuración de los mismos y evitando la doble autenticación.

      Por ejemplo, el servicio de auto-login para Android o Chrome OS, permitía que tras conectar el dispositivo a la cuenta de Google, el navegador del dispositivo pudiera acceder a estos servicios web sin tener que loguearse, dando acceso a cambiar la información para recuperar una cuenta, con lo que básicamente se podía cambiar esta información, cambiar el password y cuenta totalmente secuestrada.


      Aunque estos ASP en muchos casos no se almacenan ni son fáciles de interceptar, el hecho de que puedan ser almacenados en aplicaciones de terceros (como los clientes de correo) siempre dejan la puerta abierta a que o bien se puedan desde el terminal o se pueda interceptar una comunicación no debidamente encriptada. En este caso con el nombre de usuario, este ASP y una visita a https://android.clients.google.com/auth los atacantes ya tenían todo los necesario para acceder a la configuración más sensible de la cuenta con la posibilidad de robarla.

      Lo que ha hecho Google en este caso es añadir un estado de sesión para identificar de que manera el usuario está identificado y en el caso que sea a través de un tercero o del propio dispositivo impedir el acceso a determinadas zonas sin pasar previamente por un login clásico en web.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Vaalenttin
      Registrado
      nov 2012
      Ubicación
      Merida
      Mensajes
      160

      Re: Google corrige un fallo en su doble factor de autenticación

      uh! que bueno que Google ya lo corrigió!

      Buena información saludos!! :adiós:

    3. #3
      Ex-Colaborador Avatar de @Frank_JPS
      Registrado
      abr 2012
      Ubicación
      España
      Mensajes
      2.457

      Re: Google corrige un fallo en su doble factor de autenticación

      Buenas.

      Anda!! que buena noticia, yo por seguridad borraba todos los datos de almacenamiento, caché y valores predeterminados y aún así cuando inicio en Chrome desde el móvil me pregunta que si quiero iniciar sesión con mi cuenta de Gmail, le doy y PLAF, entra sin pedir contraseña... Que bueno saber que se ha corregido el acceso a ciertas zonas!!

      Saludos!!
      Última edición por @Frank_JPS fecha: 28/02/13 a las 07:28:16 Razón: Gracias por la info.