Googles Zwei-Faktor-Authentifizierung ausgetrickst
Durch eine Lücke konnte man Google-Accounts übernehmen, die per Zwei-Faktor-Authentifizierung geschützt sind.
- Ronald Eikenberg
Google hat eine Schwachstelle geschlossen, durch die Angreifer den Google-Account theoretisch trotz aktivierter Zwei-Faktor-Authentifizierung übernehmen konnten. Damit hat sich das Unternehmen allerdings rund sieben Monate Zeit gelassen.
Ist die Sicherheitsfunktion aktiv, fragen die Google-Dienste beim Einloggen zusätzlich nach einem One-Time-Password, (OTP) das man von einer Smartphone-App generieren lassen muss. Alternativ gibt es die Option, dass das OTP per SMS zugestellt wird. Durch die zusätzliche Abfrage ist der Account auch dann noch vor Fremdzugriffen geschützt, wenn die Zugangsdaten mal in die falschen Hände fallen; man benötigt zwangsläufig Zugriff auf das mit dem Account verknüpfte Handy.
Es gibt jedoch eine – gewollte – Hintertür bei dem System, für Anwendungen, welche nicht auf die Zwei-Faktor-Authentifizierung vorbereitet sind: die sogenannten Application-Specific Passwords (ASP). Will man etwa mit Thunderbird Mails von einem per Zwei-Faktor-Schutz abgesichterten Google-Konto abholen, generiert man sich ein ASP, das man bei Thunderbird statt des tatsächlichen Google-Passwort angibt.
Das hat freilich den Nachteil, dass auch ein Angreifer, der das ASP abgreift, auf Mail, Kalender und Kontakte zugreifen kann – ohne nach einem Einmalpasswort gefragt zu werden. Die dauerhafte Übernahme des Google-Accounts – etwa durch das Ändern das Hauptpassworts – ist mit einem ASP normalerweise jedoch nicht möglich.
Genau das ist den Sicherheitsforscher von Duo Security allerdings gelungen. Über eine für Android vorgesehen API gelang es ihnen, mit einem ASP auf die Kontoeinstellungen zuzugreifen und dort das Passwort des Google-Accounts zu ändern und sogar die Zwei-Faktor-Authentifizierung abzuschalten.
Die Forscher haben Google bereits im Juli vergangenen Jahres über Ihre Entdeckung informiert. Beseitigt wurde die Schwachstelle Ende vergangener Woche. Google überprüft nun, ob die Session, mit der auf die Account-Einstellungen zugegriffen werden soll, auf einem ASP beruht und schaltet in diesem Fall die Zwei-Faktor-Authentifizierung vor. (rei)
