Uwierzytelnianie dwuskładnikowe może obrócić się przeciw użytkownikowi. Zaskakujące odkrycie
Wiele osób żyje w przekonaniu, że korzystając z uwierzytelniania dwuskładnikowego (2FA), jest się w 100 proc. zabezpieczonym na wypadek wycieku hasła. A co w przypadku, gdy ktoś spróbuje wykorzystać 2FA jako komponent ataku? Specjalista ds. cyberbezpieczeństwa Luke Berner udowodnił, że weryfikacja dwuetapowa może być bronią obosieczną.
Berner odkrył, że 2FA w przypadku wielu znanych serwisów jest częściowo niezależne od głównego hasła. Mówiąc obrazowo, kiedy już dotrze się do drugiego etapu weryfikacji, do zalogowania wystarczy jedynie kod autoryzacyjny, który zadziała nawet wtedy, gdy weryfikacja dwuetapowa zostanie w międzyczasie wyłączona, a hasło – zmienione.
Początkowo badacz natrafił na tę lukę w Gmailu. Podał hasło do konta, po czym, uzyskawszy dostęp do drugiego etapu logowania, zmienił je za pośrednictwem innej przeglądarki. Mimo to wygenerowany wcześniej kod dostępu zadziałał i pozwolił się zalogować do serwisu.
Napisał więc do Google'a, donosząc o błędzie, ale firma w pierwszej chwili nie stwierdziła powodów do obaw. Uznano, że sesja 2FA tak czy inaczej wygasa w ciągu 20 min. Wtedy Berner znalazł coś jeszcze. Otóż ustalił, że sesja przedłuża się za każdym razem, gdy użytkownik skorzysta z funkcji Wypróbuj inny sposób. Można ustawić makro i przedłużać ją bez jakichkolwiek ograniczeń.
To otwiera pole do dwóch potencjalnych ataków. Jeden jest bardzo oczywisty, jako że napastnik zyskuje nieograniczony czas na zdobycie (wykradzenie?) kodu autoryzacyjnego. Drugi natomiast, trochę paradoksalnie, opiera się na bezpośrednim skierowaniu 2FA przeciwko ofierze.
Po wycieku hasła dla konta bez uwierzytelniania dwuskładnikowego, napastnik loguje się i aktywuje 2FA po to, aby uzyskać jednorazowy kod dostępu. Następnie wyłącza zabezpieczenie. Nieświadoma ofiara zmienia hasło, myśląc, że niebezpieczeństwo zostało zażegnane. Tymczasem cracker uzyskuje dostęp za pomocą wygenerowanego kodu, bez znajomości uaktualnionego hasła.
Dopiero to przekonało firmę z Mountain View do interwencji. Jak przekazano we wiadomości do Bernera, luka została wyeliminowana. Sukces? Tak, ale nie dla wszystkich...
Microsoft i Instagram mają ten sam problem, ale uważają go za czysto teoretyczny
Co zaskakujące, identycznie niedopracowane okazały się systemy 2FA stosowane przez Microsoft oraz Instagram. (Facebook – nie, choć ma tych samych właścicieli co Instagram). Ale tutaj firmy nie wykazały się już taką przychylnością wobec badacza jak Google. W Redmond uznano, że żaden błąd nie istnieje, pomimo dostarczenia dowodów, a zespół popularnej platformy do udostępniania zdjęć skomentował, że „atak jest czysto teoretyczny i nie powinien zdarzać się często”.
Cóż, tak naprawdę żaden atak nie zdarza się często, ale każda otwarta furtka to zaproszenie dla złodziei. A tu sprawa jest tym poważniejsza, że chodzi o mechanizm, który w teorii ma nas chronić, w praktyce – jak jest, każdy widzi. Wniosek jest jednak taki, że 2FA bezwzględnie warto włączyć, choćby dlatego, aby nie włączył go za nas napastnik. Brzmi jak dobra motywacja, prawda?
