Beveiligingsonderzoekers van Duo Security hebben een manier gevonden waarop de tweetrapsauthenticatie bij een Google-account kan worden omzeild. Door het simpelweg stelen van een ASP (Application Specific Password) die voor sommige diensten nodig blijven, kan volledige controle worden genomen over het Google-account en het wachtwoord van de gebruikers worden aangepast.

Google is voor de onthulling van de kraak op de hoogte gebracht. Dat blijkt in juli 2012 te zijn gebeurd. Na overleg met het Google Security Team is de afgelopen maanden door het bedrijf gewerkt aan een oplossing. Deze is volgens de onderzoekers op 21 februari met Chrome 25 uitgebracht.

ASP blijft nodig

De kraak bleek mogelijk dankzij applicatie-specifieke wachtwoorden (ASP). Dat zijn wachtwoorden die ondanks het instellen van de Google tweetrapsauthenticatie nodig blijven voor applicaties die geen op het web gebaseerde login gebruiken.

Voorbeelden hiervan zijn mailclients die werken met IMAP en SMTP (Apple Mail, Thunderbird), chatclients die communiceren via XMPP (Adium, Pidgin) en kalenderapplicaties die synchroniseren met CalDAV, zoals iCalender van Apple.

Maar het gebruik van een ASP blijkt veel meer toegang te verschaffen. Onder meer tot pagina's waarop een gebruiker zijn Google Account-instellingen kan aanpassen en zelfs een nieuw wachtwoord kan opvragen en deze naar een nieuwe e-mailadres kan laten sturen.

Gemakkelijk onderscheppen

Voor de omzeiling moet wel eerst een ASP bemachtigd worden. Iets wat volgens de onderzoekers van Duo Security tamelijk gemakkelijk is. Dat komt door het auto-login mechanisme dat kan worden gebruikt op Android-apparaten. In een uitgebreide blogpost leggen de onderzoekers hun gebruikte techniek uit.

Door het opzetten van een onderscheppende proxy met een eigen CA-certificaat kan netwerkverkeer tussen een Android-emulator en Google's servers worden bekeken. Daaronder valt ook het verzoek dat automatisch wordt verstuurd wanneer een Google-account wordt toegevoegd aan de emulator, waarbij een ASP wordt gebruikt.

“Met niets anders dan een gebruikersnaam, een ASP en een enkel verzoek naar https://android.clients.google.com/auth, kunnen we elke tweetraps authenticatie van Google omzeilen", concluderen de onderzoekers van Duo Security op hun blog.

Lek is gedicht

Toch zijn zij ervan overtuigd dat het verder een sterk beveiligingssysteem is, dat ondanks het lek voor een extra slot op de deur zorgt. Google heeft het lek inmiddels gedicht in Chrome 25. De onderzoekers erkennen dat hun aanvalstechniek sinds die patch niet langer werkt, aangezien de toegang tot de instellingenpagina door Google is geblokkeerd. Wat het stelen van een ASP in de nieuwe situatie veel minder gevaarlijk maakt.