Исследователи из компании Duo Security опубликовали способ обхода двухфакторной аутентификации Google, смены мастер-пароля Google Account и полного контроля над всеми сервисами пользователя. Единственное, что требуется для этого, — всего лишь перехватить ASP-пароль пользователя, то есть пароль, специфический для конкретного Google-приложения (application-specific password).
Подробнее об ASP-паролях см. в справочном разделе Google.
Когда пользователь переходит на двухфакторную аутентификацию, ASP-пароли генерируются отдельно для каждого приложения, которое не поддерживает двухфакторную аутентификацию. После генерации они используются вместо основного пароля. Это довольно удобно. Например, если потерян мобильный телефон, с которого осуществлялся доступ по ASP-паролю, то можно просто поменять ASP-пароль для конкретного сервиса, не трогая основной пароль.
Как выяснилось, эти ASP-пароли имеют гораздо больше полномочий, чем положено для простого доступа к конкретному сервису. Их можно использовать для доступа к основному аккаунту в обход двухфакторной аутентификации. Пример такого поведения можно увидеть в автологине Google Chrome с мобильного устройства. Кстати, экспериментальная поддержка автологина есть также в десктопной версии Chrome. Она позволяет получить доступ ко всем сервисам Google, даже если для аккаунта установлена двухфакторная аутентификация.
Довольно подробный технический анализ автологина под Android и перехвата аутентификационных токенов в сетевом трафике см. в блоге Николая Еленкова.
Компания Duo Security отправила отчёт с описанием проблемы в Google в июле 2012 года. 21 февраля Google начала закрывать ASP-сессии, предотвращая посторонний доступ к интерфейсам с чувствительной информацией.
