एप्लिकेशन-विशिष्ट पासवर्ड Google के दो-कारक प्रमाणीकरण को कमजोर करते हैं, शोधकर्ताओं का कहना है कि

दो-कारक प्रमाणीकरण प्रदाता ड्यूओ सिक्योरिटी के शोधकर्ताओं ने Google की प्रमाणीकरण प्रणाली में एक छेड़छाड़ की जो उन्हें कंपनी के 2-चरणीय लॉगिन सत्यापन को बाईपास करने की अनुमति देता है व्यक्तिगत खातों को Google खातों से कनेक्ट करने के लिए उपयोग किए जाने वाले अद्वितीय पासवर्ड का दुरुपयोग करके।

डुओ सुरक्षा शोधकर्ताओं के मुताबिक, Google ने 21 फरवरी को दोष तय किया, लेकिन घटना इस तथ्य पर प्रकाश डालती है कि Google के एप्लिकेशन-विशिष्ट पासवर्ड ग्रैन्युलर प्रदान नहीं करते हैं खाता डेटा पर नियंत्रण।

सक्षम होने पर, Google की 2-चरणीय सत्यापन प्रणाली को additio में अद्वितीय कोड के इनपुट की आवश्यकता होती है लॉग इन करने के लिए खाते के नियमित पासवर्ड पर। यह पासवर्ड से समझौता होने पर भी खातों को अपहृत होने से रोकने के लिए डिज़ाइन किया गया है। अद्वितीय कोड खाते से जुड़े किसी फ़ोन नंबर पर प्राप्त किए जा सकते हैं या स्मार्टफ़ोन एप्लिकेशन का उपयोग करके जेनरेट किया जा सकता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

हालांकि, केवल 2-चरणीय सत्यापन Google की साइट के माध्यम से लॉग इन करते समय काम करता है। डेस्कटॉप ई-मेल क्लाइंट, चैट प्रोग्राम, कैलेंडर एप्लिकेशन आदि को समायोजित करने के लिए, Google ने एप्लिकेशन-विशिष्ट पासवर्ड (एएसपी) की अवधारणा पेश की। ये यादृच्छिक रूप से जेनरेट किए गए पासवर्ड हैं जो एप्लिकेशन को दूसरे प्रमाणीकरण कारक की आवश्यकता के बिना खाते तक पहुंचने की अनुमति देते हैं। एएसपी को किसी भी समय खाते के मुख्य पासवर्ड को बदले बिना निरस्त किया जा सकता है।

समस्या यह है कि, "एएसपी लागू करने के मामले में हैं-वास्तव में एप्लिकेशन-विशिष्ट नहीं!" डुओ सुरक्षा शोधकर्ताओं ने सोमवार को एक ब्लॉग पोस्ट में कहा। "यदि आप एक्सएमपीपी चैट क्लाइंट में उदाहरण के लिए एएसपी बनाते हैं, तो उसी एएसपी का उपयोग IMAP पर अपना ईमेल पढ़ने के लिए भी किया जा सकता है, या CalDAV के साथ अपने कैलेंडर ईवेंट को पकड़ सकता है।"

शोधकर्ताओं ने एक दोष पाया एंड्रॉइड के नवीनतम संस्करणों में क्रोम में लागू ऑटो-लॉगिन तंत्र ने उन्हें Google खाते की रिकवरी और 2-चरणीय सत्यापन सेटिंग तक पहुंच प्राप्त करने के लिए एएसपी का उपयोग करने की अनुमति दी।

संक्षेप में, दोष किसी हमलावर को अनुमति दे सकता था Google खाते के लिए एक एएसपी चुरा लिया है जो उस खाते से जुड़े मोबाइल फोन नंबर और पुनर्प्राप्ति ईमेल पते को बदलने के लिए या यहां तक ​​कि 2-चरणीय सत्यापन को भी अक्षम कर देता है।

"उपयोगकर्ता नाम, एएसपी, और https के लिए एक ही अनुरोध के अलावा कुछ भी नहीं दिया गया है: //android.clients.google.com/auth, हम किसी भी लॉगिन प्रॉम्प्ट (या 2-चरणीय सत्यापन) के बिना किसी भी Google वेब प्रॉपर्टी में लॉग इन कर सकते हैं! " डुओ सुरक्षा शोधकर्ताओं ने कहा। "यह अब 21 फरवरी तक नहीं है, जब Google इंजीनियरों ने इस छेड़छाड़ को बंद करने के लिए एक फिक्स को धक्का दिया।"

इस मुद्दे को ठीक करने के अलावा, Google ने स्पष्ट रूप से एप्लिकेशन-विशिष्ट पासवर्ड उत्पन्न करने के बाद प्रदर्शित संदेश भी बदल दिया उपयोगकर्ताओं को यह चेतावनी देने के लिए कि "यह पासवर्ड आपके Google खाते में पूर्ण पहुंच प्रदान करता है।"

"हमें लगता है कि यह एक मजबूत प्रमाणीकरण प्रणाली में एक महत्वपूर्ण छेद है यदि उपयोगकर्ता के पास अभी भी 'पासवर्ड' का कुछ रूप है जो पूर्ण होने के लिए पर्याप्त है अपने खाते का नियंत्रण, "डुओ सुरक्षा शोधकर्ताओं ने कहा। "हालांकि, हमें अभी भी भरोसा है कि Google के 2-चरणीय सत्यापन को ठीक करने से पहले भी ऐसा करने से अपेक्षाकृत बेहतर नहीं था।"

यह कहा गया कि शोधकर्ता Google को किसी प्रकार की तंत्र को लागू करना चाहते हैं OAuth टोकन के समान जो प्रत्येक व्यक्तिगत एप्लिकेशन-विशिष्ट पासवर्ड के विशेषाधिकारों को प्रतिबंधित करने की अनुमति देगा।

Google ने भविष्य में एप्लिकेशन-विशिष्ट पासवर्ड के लिए अधिक ग्रेन्युलर नियंत्रण लागू करने के लिए इस दोष या संभावित योजनाओं के बारे में टिप्पणी के अनुरोध का तुरंत जवाब नहीं दिया ।