비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
SAN FRANCISCO-- 연구자들은 애플리케이션의 비밀번호를 사용하여 Google의 2 단계 인증을 우회하고 사용자의 Gmail 계정을 완전히 제어 할 수있었습니다.
2013 RSA 보안 컨퍼런스는 내일 아침에 본격적으로 시작되지만 많은 컨퍼런스 참석자들이 이미 클라우드의 Moscone Center에서 Cloud Security Alliance Summit 및 Trusted Computing Group Panel에서 대화를 나누기 위해 밀링 작업을하고있었습니다. 다른 사람들은 다른 참석자들과 광범위한 보안 관련 주제에 대해 대화를 나습니다. 오늘 아침 듀오 시큐리티 (Duo Security)가 연구원들이 구글의 2 단계 인증을 우회하는 방법을 발견 한 방법에 대한 게시물은 오늘 아침 일반적인 토론 주제였다.
Google은 사용자가 Gmail 계정에서 2 단계 인증을 사용하여 보안을 강화하고 2 단계 인증을 지원하지 않는 애플리케이션에 대한 특별 액세스 토큰을 생성 할 수 있도록합니다. 듀오 시큐리티의 연구원 인 듀오 시큐리티의 아담 굿맨 (Adam Goodman)은 듀오 시큐리티의 연구원들은이 특수 토큰을 남용하여 2 단계 프로세스를 완전히 우회하는 방법을 발견했다고 밝혔다. 굿맨은 듀오 시큐리티 (Duo Security)는 구글에이 문제를 통보했으며, 이 회사는 "가장 심각한 위협을 완화하기 위해 몇 가지 변경 사항을 구현했다"고 밝혔다.
"우리는 사용자가 자신의 계정을 완전히 제어하기에 충분한 형태의 '비밀번호'를 가지고 있다면 강력한 인증 시스템에서 상당히 중요한 구멍이라고 생각합니다."라고 Goodman은 말했습니다.
그러나 그는 또한이 결함에도 불구하고 2 단계 인증이 일반적인 사용자 이름 / 암호 조합에 의존하는 것보다 "명백하게 더 낫다"고 말했다.
ASP 문제
2 단계 인증은 사용자 계정을 보호하는 좋은 방법입니다. 알고있는 것 (암호)과 가지고있는 것 (특별 코드를 가져 오는 모바일 장치)이 필요하기 때문입니다. Google 계정에서 이중 인증을 사용 설정 한 사용자는 일반 로그인 자격 증명을 입력 한 다음 휴대 기기에 표시되는 특수 일회용 비밀번호를 입력해야합니다. 특수 암호는 모바일 장치의 앱에서 생성되거나 SMS 메시지를 통해 전송 될 수 있으며 장치마다 다릅니다. 즉, 사용자는 로그인 할 때마다 새 코드를 생성 할 필요가없고 새 장치에서 로그인 할 때마다 걱정할 필요가 없습니다. 그러나 추가 보안을 위해 인증 코드는 30 일마다 만료됩니다.
좋은 아이디어와 구현이지만 Google은 사용자가 2 단계 인증을 지원하지 않는 애플리케이션을 계속 사용할 수 있도록 애플리케이션 비밀번호와 같은 "몇 가지 타협"을해야했다고 Goodman은 지적했습니다. ASP는 사용자가 암호 / 토큰 조합 대신 입력하는 각 응용 프로그램 (따라서 이름)에 대해 생성 된 특수 토큰입니다. 사용자는 Mozilla Thunderbird와 같은 이메일 클라이언트, Pidgin과 같은 채팅 클라이언트 및 캘린더 애플리케이션에 ASP를 사용할 수 있습니다. 이전 Android 버전도 2 단계를 지원하지 않으므로 사용자는 ASP를 사용하여 구형 전화 및 태블릿에 로그인해야했습니다. 사용자는 해당 애플리케이션의 ASP를 사용 중지하여 Google 계정에 대한 액세스 권한을 취소 할 수도 있습니다.
Duo Security는 ASP가 실제로 응용 프로그램별로 다르지 않았으며 CalDev를 사용하여 IMAP 프로토콜 또는 캘린더 이벤트를 통해 전자 메일을 가져 오는 것 이상의 역할을 수행 할 수 있음을 발견했습니다. 실제로 최신 Android 및 Chrome OS 버전에 도입 된 새로운 "자동 로그인"기능 덕분에 하나의 코드를 사용하여 거의 모든 Google 웹 속성에 로그인 할 수 있습니다. 자동 로그인을 사용하면 휴대 기기 또는 크롬 북을 Google 계정에 연결 한 사용자가 다른 로그인 페이지를 보지 않고도 웹을 통해 모든 Google 관련 페이지에 자동으로 액세스 할 수있었습니다.
이 ASP를 사용하면 누군가“계정 복구 페이지”로 바로 이동하여 암호 재설정 메시지가 전송되는 전자 메일 주소와 전화 번호를 편집 할 수 있습니다.
"이것은 ASP가 놀라 울 정도로 심각한 보안 위협을 제시했다는 것을 깨닫기에 충분했습니다."라고 Goodman은 말했습니다.
Duo Security는 Android 기기에서 Google 서버로 전송 된 요청을 분석하여 ASP를 가로 ed습니다. ASP를 가로채는 피싱 체계는 성공률이 낮을 것으로 예상되지만 Duo Security는 맬웨어가 장치에 저장된 ASP를 추출하거나 SSL 인증서 확인 기능을 활용하여 ASP를 가로 채기위한 수단으로 설계 할 수 있다고 추측했습니다. 중간 공격.
굿맨은 구글의 수정 프로그램이 발견 된 문제를 해결하면서도 "Google이 개별 ASP의 권한을 더욱 제한 할 수있는 수단을 구현하고 싶다"고 말했다.
RSA 적용 범위의 모든 게시물을 보려면 Show Reports (보고서 표시) 페이지를 확인하십시오.
