BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Googleの2FAは2FAを必要とせずに無効にできる

Googleの2FAは2FAを必要とせずに無効にできる

原文(投稿日:2020/07/03)へのリンク

数日前、@fasterthanlimeとしても知られるAmos氏は、ハッカーによるパスワードを抽出される事件を経験し、その結果、数百ユーロの現金を失った。この攻撃は、攻撃者が2要素認証メカニズムで確認する必要なしにGoogleの password.google.com で2要素認証をオフにできるという事実によって容易に行われた。これにより、2要素認証を有効性という点が意味をなくす。さらに、その後の調査では、password.google.com に保存されているパスワードを簡単に抽出できることが示唆され、サービスのセキュリティに関するより大きな疑問が生じている。InfoQは、応答のあったGoogleのセキュリティエンジニアに連絡を取った。さらに情報が得られ次第、この記事を更新する。

この脆弱性への入り口は、公開されたリモートVNCのようなセッションであり、攻撃者はその時点で使用されていたmacOSウィンドウシステムにアクセスできた。このサービスはNoMachineを使用していた。これは、4000番のポートを認証なしでインターネットに公開したが、これはAmos氏が指摘しているように彼らの間違いだった。

ただし、Amos氏がmacOSでSafariを使用してアカウントにログインしていたため、より大きな問題が発生しました。Safariは「便利に」自動入力でパスワードを記憶する。これにより、ハッカーはその後Amos氏の詳細にアクセスできるようになった。

Amos氏が直近にマシンにログインしていたため、Googleは直近のセッショントークンをマシンにキャッシュしていた (おそらく2FAチェックを使用) 。これにより、攻撃者は少し後に、Safariの自動入力でキャッシュされたパスワードを再利用し、セッショントークンを更新し、それを使用してアカウントの2FAを無効にすることができた。これはコンピュータにログインしていて、パスワードを知っているのは、その時点でマシンの攻撃者ではなく確かに同一人物であるという明らかに設計によるものである。最近ログオンした場合は、恩恵が与えられたセッションがあり、必要なのは、恩恵が与えられたセッショントークンを更新するための単一の要素 (パスワード) だけだ。これで準備完了だ。

2FAトークンを必要とせずにGoogle 2FAをオフにすることができる。

これはセキュリティの101 (基本) のことのように見えますが、明らかにユーザが簡単に2FAトークンを入力する必要がないようにするために、セキュリティを確保できることをGoogleに納得させるには、最近マシンにログインするだけで十分だ。それは、パスワードを知っていれば、セキュリティレベルを変えることができる。つまり、ログオンしていない限り2FAだ。ログオンしている場合は1FAだ。議論は次のとおりだ: まあ、あなたはあなたのマシンにログオンしました、それはセキュアであるはずだよね?

@mrisher: @fasterthanlime 多分用語の違い? パスワードに加えてタッチ/フェイスでロック解除? スクリーンロックにギャップがあることは完全に認めます — ショルダーサーフィン、目を閉じているなど — それでも、それは2番目の要素ですよね?

@mrisher: @fasterthanlime 正解です。私たちのモデルでは、デバイスロックはクラウドパスワードに加えて2番目の要素です。同意しませんか?

はい、私は同意しない。2FAの要点は、それが2要素認証であるべきだということだ。1つのパスワードだけでセキュリティ設定を変更できる場合、それは1FAと呼ばれる。これがGoogleのセキュリティエンジニアのアドバイスであるという事実は、それをさらに心配させる。

さらに、攻撃者が2FAを無効にすると、リモートでセッションを攻撃することができ、passwords.google.com を使用して、過去にChromeによって自動的に保存された多数のパスワードを抽出した。Amos氏はInfoQに、彼はしばらくの間1Passwordの幸せなユーザであり、Chromeによってキャプチャされたこれらのパスワードは古いか期限切れのサービスであったが、攻撃者はなんとか、Amos氏が現在直面する支払いが必要な請求となった、ハードウェアの発注の実行に十分な数のパスワードがまだ有効であったと語った。

実際、現実の2FAを使用したサービスが深夜にAmos氏に通知したとき、彼は何かがおかしいことに気づいた。

Amos氏の調査から得られたもう1つの側面は、passwords.google.com が、Googleログインパスワードを使用して暗号化されたパスワードを保存しているように見えることだ。これにより、パスワードを知っている人なら誰でも (たとえば、Safariはパスワードを自動入力するため) 、クラウドパスワードを復号化できる。これはAppleのキーチェーンマネージャに似ており、キーチェーンのパスワードを知っていれば、キーチェーンの内容を復号化できる。そのため、中央サービスとすべてのChromeインスタンスを介したChromeのパスワードの同期により、パスワードにアクセスしてパスワードを復号化できる。しかし、それはGoogleのパスワードチェックサービスが使用するものでもある。アカウントのパスワードを使用して、アカウント内のすべてのパスワードを復号化し、ハッキングされているのか、特に弱いのかを判断できる。これにより、攻撃者はマシンのセッションを制御して、オンラインのpsaswordマネージャを使用してパスワードを簡単に抽出できる。「パスフレーズとして選択」の暗号化パスワードを使用すると、これをオプトアウトできる。これにより、パスワードチェッカ機能は無効になるが、Googleがオンラインでパスワードを復号化できなくなる。

これからいくつかのポイントがある:

  • Chromeを使用してパスワードを記憶していて、デフォルトのアカウントパスワードでパスワードを暗号化している場合、passwords.google.com がセキュリティの脆弱性である可能性がある。本物のパスワードマネージャが望ましい。本物のパスワードマネージャを使用しておらず、Chromeで passwords.google.com を引き続き使用する場合は、少なくとも現在のアカウントとは異なるパスフレーズを選択すること。
  • 誰かがあなたのGoogleアカウントを使用しているかどうかわからない場合は、https://g.co/securityCheckupページをチェックして、最近アカウントを使用したデバイスと場所を確認し、そこからそれらを取り消すことができる。
  • The security of 2FA isn't under question here, just whether it is temporarily disabled for user convenience is a feature or a bug
  • 2FAのセキュリティはここでは問題ではない。ユーザの便宜のために一時的に無効にされているかどうかは、仕様またはバグだ。
  • Googleはまた、この攻撃を防ぐことはできなかったであろう高度な保護プログラムを提供するが、読者の興味を引くかもしれない: https://landing.google.com/advancedprotection/

このインシデントに関するAmos氏の完全な記事は『Beware the Google Password Manager (Google Password Managerに注意) 』だ。

この状況についてどう思いますか? それは消費者の利便性とユーザの考えですか、それとも修正する必要があるのはセキュリティの脆弱性ですか? 以下にコメントを追加してください。

この記事に星をつける

おすすめ度
スタイル

BT