Googleの2段階認証を突破する方法が発見される
2013年2月27日 14:57
あるAnonymous Coward 曰く、 Googleアカウントへの不正アクセスを防ぐ方法として「2段階認証」がある。2段階認証ではログイン時にユーザー名およびパスワードに加え、携帯電話に送信されたパスコードが要求されるというものだ。しかし、これをを回避する方法がDuo Securityによって発見された(本家/.)。
幸いDuo Securityは良心的なチームだったため、この問題はGoogleのセキュリティチームへ報告され修正された。しかし一度は仕様だと断り、修正に半年もかかったという。このプロセスは改善してほしいところである。
発見された手法は、「アプリケーション固有のパスワード(ASP)」を利用するもの。GmailやGoogleカレンダーなどにアクセスする一部アプリケーションでは2段階認証が利用できないため、Googleはそれらのアプリケーション向けに専用のパスワードであるASPを生成する方法を用意している。しかし、このASPを使った認証プロセスには、本来は認証に必要であるはずのASPを利用しなくとも、ユーザー名とパスワードのみで認証に成功できるという不具合があったそうだ。さらに、ASPを使ってアクセスした場合でも、Googleの提供する全サービスに制限無しにアクセスできるという点も問題だったという。
Duo Securityのブログでは、Androidの標準Webブラウザに用意されている「自動ログイン」機能とGoogleのWebサイトから行える「パスワードのリセット」を併用することで、2段階認証無しにGoogleアカウントの全権限を奪取する手法が紹介されている。
なお、この問題は先週に修正されたとのこと。ただし、最初の報告から修正までは7か月もかかったという。
スラッシュドットのコメントを読む | ITセクション | Google | セキュリティ
関連ストーリー:
新たなアカウント窃取対策を研究するGoogle 2013年01月22日
パスワードなしで他人のFacebookアカウントにアクセスできる問題が発覚 2012年11月04日
池田信夫氏のGmailアカウントが乗っ取られる 2012年10月04日