研究人員：Google雙因素驗證系統有漏洞

資安公司Duo Security周一（2/25）指出，Google的雙因素驗證系統存有漏洞，攻擊者可以跳過該系統，控制被攻擊帳號。不過Google已經在上週釋出Chrome 25的同時修復了該漏洞。

該公司資深資安工程師Adam Goodman表示，利用Android手機的自動登入機制與猜測或竊取的密碼，入侵者可以控制整個帳號的完整內容，並跳過兩階段登入驗證系統（two-step login verification）來重置Google個人帳號的密碼與安全機制，包含更改重置密碼的信箱或電話。

研究人員指出，Google利用兩階段登入驗證系統保護使用者的帳號，但不是所有的應用都可以套用該系統，因此在技術上稍作妥協。應用程式專用密碼（Application specific password，ASP）就是妥協下的技術之一，ASP在無法或不方便使用兩階段登入驗證系統的服務中作為確認的密碼，包含電子郵件協定SMTP與IMAP、Google Talk協定及行事曆同步機制等。

Duo Security發現兩階段登入驗證系統或ASP登入所產生的令牌，在有效期限內幾乎可以套用在所有的Google服務上，而Google為避免過分干擾使用者，因此令牌有效時間長達30天。

研究人員從電子郵件軟體、第三方聊天軟體等取得ASP產生的令牌進入帳號重啟網頁（Account recovery page），重新設定重置密碼的信箱、電話，並可取消使用兩階段驗證系統。

雖然網路釣魚很難取得ASP令牌，但該公司曾經透過攔截並分析取得ASP，因此認為惡意軟體可能透過讀取設備中儲存的ASP，或利用中間人攻擊手法攔截僅以簡單SSL加密的ASP。

雖然Google已經修補相關漏洞，研究人員仍希望Google可以縮減ASP的權限。他們認為任何一種單一「密碼」形式就可以取得帳戶權限是很大的漏洞。因此特別提醒啟用Google兩階段登入驗證系統的使用者注意其ASP的使用範圍。（編譯/沈經）