Las contraseñas específicas de la aplicación debilitan la autenticación de dos factores de Google, dicen los investigadores

Según los investigadores de Duo Security, Google corrigió el error el 21 de febrero, pero el incidente resalta el hecho de que las contraseñas específicas de aplicaciones de Google no proporcionan granularidades control sobre los datos de la cuenta.

Cuando está habilitado, el sistema de verificación en dos pasos de Google requiere la entrada de códigos únicos en additio n a la contraseña habitual de la cuenta para iniciar sesión. Esto está diseñado para evitar que las cuentas sean secuestradas, incluso cuando la contraseña se vea comprometida. Los códigos únicos se pueden recibir en un número de teléfono asociado a la cuenta o se pueden generar usando una aplicación de teléfono inteligente.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Sin embargo, solo verificación en dos pasos funciona al iniciar sesión en el sitio de Google. Con el fin de dar cabida a los clientes de correo electrónico de escritorio, programas de chat, aplicaciones de calendario, etc., Google introdujo el concepto de contraseñas específicas de la aplicación (ASP). Estas son contraseñas generadas aleatoriamente que permiten a las aplicaciones acceder a la cuenta sin la necesidad de un segundo factor de autenticación. Las ASP se pueden revocar en cualquier momento sin cambiar la contraseña principal de la cuenta.

El problema es que "las ASP son, en términos de cumplimiento, ¡en realidad no son específicas de la aplicación en absoluto!" los investigadores de Duo Security dijeron el lunes en una publicación de blog. "Si crea una ASP para usar en (por ejemplo) un cliente de chat XMPP, esa misma ASP también se puede usar para leer su correo electrónico a través de IMAP, o tomar sus eventos de calendario con CalDAV."

Los investigadores encontraron un error en el mecanismo de inicio de sesión automático implementado en Chrome en las últimas versiones de Android que les permitía usar una ASP para acceder a la recuperación de una cuenta de Google y la configuración de verificación en dos pasos.

En esencia, la falla podría haber permitido a un atacante que robó un ASP para una cuenta de Google para cambiar el número de teléfono móvil y la dirección de correo electrónico de recuperación asociada con esa cuenta o incluso deshabilitar la verificación en dos pasos.

"Dado solo un nombre de usuario, un ASP y una sola solicitud a //android.clients.google.com/auth, ¡podemos iniciar sesión en cualquier propiedad web de Google sin ningún aviso de inicio de sesión (o verificación en dos pasos)! " los investigadores de Duo Security dijeron. "Este ya no es el caso hasta el 21 de febrero, cuando los ingenieros de Google introdujeron una solución para cerrar esta laguna".

Además de solucionar el problema, aparentemente Google también cambió el mensaje que se muestra después de generar una contraseña específica de la aplicación advertir a los usuarios que "esta contraseña otorga acceso completo a su cuenta de Google".

"Creemos que es un agujero bastante significativo en un sistema de autenticación fuerte si un usuario todavía tiene alguna forma de 'contraseña' suficiente para hacerse cargo control de su cuenta ", dijeron los investigadores de Duo Security. "Sin embargo, aún estamos seguros de que, incluso antes de implementar su solución, la verificación de Google en dos pasos fue inequívocamente mejor que no hacerlo".

Dicho esto, los investigadores quisieran ver a Google implementar algún tipo de mecanismo similar a los tokens de OAuth que permitirían restringir los privilegios de cada contraseña individual específica de la aplicación.

Google no respondió de inmediato a una solicitud de comentarios sobre este error o posibles planes para implementar un control más detallado para las contraseñas específicas de la aplicación en el futuro.