二要素認証プロバイダーの Duo Security の研究者らは、Google の認証システムに抜け穴を発見した。この抜け穴により、個々のアプリケーションを Google アカウントに接続する際に使用される固有のパスワードを悪用することで、同社の 2 段階ログイン認証を回避できる可能性がある。
Duo Securityの研究者によると、Googleは2月21日にこの欠陥を修正したが、この事件は、Googleのアプリケーション固有のパスワードではアカウントデータに対するきめ細かな制御ができないという事実を浮き彫りにしている。
Googleの2段階認証システムを有効にすると、ログイン時にアカウントの通常のパスワードに加えて固有のコードの入力が必要になります。これは、パスワードが漏洩した場合でもアカウントの乗っ取りを防ぐためのものです。固有のコードは、アカウントに関連付けられた電話番号で受信するか、スマートフォンアプリを使用して生成できます。
ただし、2段階認証はGoogleのサイトからログインする場合にのみ機能します。デスクトップのメールクライアント、チャットプログラム、カレンダーアプリケーションなどに対応するため、Googleはアプリケーション固有のパスワード(ASP)という概念を導入しました。これはランダムに生成されるパスワードであり、アプリケーションは2つ目の認証要素を必要とせずにアカウントにアクセスできます。ASPは、アカウントのメインパスワードを変更することなく、いつでも取り消すことができます。
問題は、「ASPは、適用という点では、実際にはアプリケーション固有のものではない」ということです!と、Duo Securityの研究者は月曜日のブログ投稿で述べています。「例えば、XMPPチャットクライアントで使用するためにASPを作成した場合、その同じASPはIMAP経由でメールを読んだり、CalDAVを使ってカレンダーのイベントを取得したりするためにも使用できます。」
研究者らは、最新バージョンの Android の Chrome に実装されている自動ログイン メカニズムに欠陥があることを発見しました。この欠陥により、ASP を使用して Google アカウントの回復と 2 段階認証の設定にアクセスできる可能性があります。
本質的には、この欠陥により、Google アカウントの ASP を盗んだ攻撃者が、そのアカウントに関連付けられた携帯電話番号や復旧用メールアドレスを変更したり、さらには 2 段階認証を完全に無効にしたりすることが可能になる可能性がありました。
「ユーザー名、ASP、そしてhttps://android.clients.google.com/authへのリクエスト1つだけで、ログインプロンプト(または2段階認証)なしでGoogleのあらゆるウェブプロパティにログインできます!」とDuo Securityの研究者は述べています。「しかし、2月21日にGoogleのエンジニアがこの抜け穴を塞ぐ修正をリリースした時点で、これはもはや当てはまりません。」
Google は問題を修正したことに加え、アプリケーション固有のパスワードを生成した後に表示されるメッセージも変更し、「このパスワードは Google アカウントへの完全なアクセスを許可する」ことをユーザーに警告するようになったようです。
「ユーザーが自分のアカウントを完全に制御できるような何らかの『パスワード』を依然として保持しているということは、強力な認証システムにおけるかなり重大な欠陥だと考えています」とDuo Securityの研究者は述べています。「しかしながら、修正プログラムを公開する前であっても、Googleの2段階認証を有効にすることは、有効にしないよりも明らかに優れていると確信しています。」
とはいえ、研究者たちは、Google が OAuth トークンに似た、アプリケーション固有のパスワードごとに権限を制限できる何らかのメカニズムを実装することを期待しています。
Google 社は、この欠陥や、将来的にアプリケーション固有のパスワードに対するよりきめ細かな制御を実装する計画についてのコメント要請にすぐには応じなかった。
