Pytanie zamiast kodu w SMS‑ie: Google z bezpiecznym dwuetapowym logowaniem
Dla większości internautów dwuetapowe uwierzytelnianie wciążoznacza przesyłanie potwierdzających kodów SMS-em – do tegoprzyzwyczaiły nas przecież banki. Pokazuje to tylko, jak nie naczasie są korporacyjne usługi bezpieczeństwa. W końcu od wielumiesięcy wiadomo już o lukach w wykorzystywanym do komunikacjimiędzy operatorami telefonii komórkowej protokole Signaling System7 (SS7), które wykorzystać można m.in. do przeczytania SMS-a zkodem uwierzytelniającym. Dobry przykład wszystkim może jednakdać Google, które oficjalnie rozpoczęło zastępowanie kodówusługą Google Prompt.
24.10.2017 13:11
We wrześniu firma Positive Technologies uzyskała dostęp doplatformy SS7 jednego z operatorów telekomunikacyjnych, byzademonstrować jak łatwo jest wykraść ofierze bitcoiny z jejportfela. Pozyskano jej adres gmailowy i numer telefonu. Nastepniezażądano zresetowania hasła dla konta pocztowego, co wiązało sięz wysłaniem tokena weryfikacyjnego na telefon. Poprzez lukę w SS7badacze przejęli token i uzyskali dostęp do Gmaila. Następniedysponując kontem pocztowym ofiary zresetowali hasło doonline’owego portfela Coinbase, zalogowali się do niego i przelalijego zawartość na swój adres.
Było to po prostu publiczna demonstracja tego, cowiemy przynajmniej od maja br. Wtedy to niemieckie mediaprzyznały, że wykradziono kodu uwierzytelniające przesyłaneklientom bankowości elektronicznej poprzez sieć operatoraO2-Telefonica. 36-letni standard po prostu jest po prostu dziurawyjak sito, żądania nim wysyłane nie są w żaden sposóbweryfikowane – każdy, kto ma dostęp do węzła sieci SS7możewyciągnąć z niej wszystko.
W maju Google rozpoczęło testy usługi GooglePrompt – potwierdzeń weryfikacji dwuetapowej wysyłanychbezpośrednio na telefon, poprzez funkcje wszyte we framework GooglePlay. Zastępuje ona kod wysyłany SMS-em zwykłym pytaniemwyświetlanym na ekranie sparowanego z usługą smartfonu – czywłaśnie próbujesz się zalogować? Bez udzielenia odpowiedzitwierdzącej, nie uzyskamy dostępu.
Teraz użytkownicy włączający po raz pierwszy dwuetapoweuwierzytelnienie dla swojego konta Google (można to zrobić tutaj)będą mieli domyślnie włączoną funkcję weryfikacji przezpotwierdzenia (wcześniej domyślne było wysyłanie SMS-em). Wciążpozostaną dostępne opcje wysłania SMS-a, kodów zapasowych lubaplikacji Google Authenticator.
Użytkownicy, którzy już wcześniej korzystali z dwuetapowegouwierzytelniania, nie zauważą żadnych zmian, choć oczywiściemogą teraz się przełączyć na potwierdzenia. Zmiana nie dotknieteż użytkowników korzystających z korporacyjnego pakietuAplikacji Google, gdzie wymuszono stosowanie kluczy bezpieczeństwa.Posiadacze iPhone’ów też mogą skorzystać z potwierdzeń, podwarunkiem że zainstalują oficjalną aplikacjęGoogle.
Na koniec trzeba przypomnieć o jeszcze jednej kwestii, którachyba jednak w naszym regionie nie będzie dla nikogo już specjalniedotkliwa. Do uzyskania potwierdzenia Google trzeba mieć w smartfoniedostęp do sieci internetowej, nie wystarczy samo połączenie zsiecią komórkową.