ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 MEGANEWS 7ОБХОД ДВУХФАКТОРНОЙАВТОРИЗАЦИИ GOOGLEТАК ЛИ БЕЗОПАСНА ДВУХСТУПЕНЧАТАЯ АВТОРИЗАЦИЯ, КАК НАС УВЕРЯЮТ?Часто на страницах журнала мы приводим слова экспертов, которые рекомендуютиспользовать двухфакторную аутентификацию, если это возможно. К сожалению,как выясняется, и двухфакторная авторизация имеет дыры, дажеесли речь идет о Google. Метод обхода двухфакторной аутентификации Googleобнаружили ресерчеры из компании Duo Security (blog.duosecurity.com). Стоитсразу сказать, что информацию об уязвимости они опубликовали, лишь дождавшись выходаофициального фикса (хотя ждать пришлось долго — с лета прошлого года).Итак, как это работало? Для получения контроля над аккаунтом Google в обход двухфакторнойавторизации нужно лишь перехватить/достатьпароль приложения (ApplicationСлабость ASPпаролейв обманчивомвпечатлении,будто онипредоставляютдоступ к конкретномуприложению,а не полный доступк аккаунтуSpecific Password). ASP генерируютсядля приложений, не поддерживающих двухфакторнуюаутентификацию и не использующихвеб-форму. Для каждого приложения парольсвой. После они хранятся на устройствеи используются вместо основного пароля.В случае, к примеру, потери смартфонаесть возможность просто сменить ASPпаролидля приложений, не трогая основного.Но, как пишут авторы исследования,«принято считать, будто ASP предоставляютдоступ к конкретному приложению, а не полномасштабныйдоступ к аккаунту, и в этой иллюзиикроется большая опасность».Так, в последних версиях Androidи Chrome OS в браузерах Google заработалмеханизм автологина в Google-аккаунт. Этоозначает буквально следующее: после тогокак ты в первый раз свяжешь свой смартфон(или другое устройство) с аккаунтом Google, браузер более не станет запрашивать авторизациючерез веб-форму, а будет использовать уже существующую. Беда в том, что этоправило распространялось и на страницу настроек аккаунта Google. Ту самую, где находитсявосстановление пароля, добавление и редактирование e-mail и телефонных номеров,на которые будет выслана информация при сбросе пароля. В блоге авторы подробно описывают,как сумели эксплуатировать уязвимость, во многом вдохновляясь постами НиколаяЕленкова в блоге Android Explorations (nelenkov.blogspot.ru).Вывод был неутешителен: имея на руках только логин и ASP-пароль (который можноперехватить), достаточно выполнить запрос к android.clients.google.com/auth, и ты залогинилсяна страницу настроек аккаунта. Недавнее исправление научило Google определять,как именно ты авторизовался — с помощью MergeSession URL или с помощью обычногологина и пароля, используя двухфакторную аутентификацию. Страница настроек теперьдоступна только в последнем случае.0102AMAZON ДЕЛАЕТСОБСТВЕННУЮ ВАЛЮТУВиртуальную валюту Coins (каждый «койн» равенодному центу) будут использовать для оплаты приложенийи другого контента на устройствах компании.Разработчики смогут обменять заработанные Coinsна реальные деньги за вычетом 30%, которые Amazonоставляет себе.УКРАИНА — ПИРАТСКАЯСТРАНА № 1Международный альянс интеллектуальной собственности(IIPA) пришел к неожиданному выводу,назвав Украину самой пиратской страной (позадиостались Россия, Индия и Китай), раем для неавторизованнойкомпьютерной техники и базой для распространенияэтого в государства ЕС.03Забавное совпадение, но недавно представители Twitter сообщили о том, что компания тоже работаетнад внедрением двухфакторной авторизации. На такой шаг компания решилась после того,как в феврале в результате хакерской атаки были скомпрометированы 250 миллионов аккаунтов.ХОСТИНГ ОТ ПИРАТСКОЙПАРИИНаша Пиратская партия запустила проектpiratehost.net. Хостинг интересен тем, что доступк нему будет ограничен для российских чиновников(не все же им ограничивать). «Пираты» пообещаливнести в собственный черный список известные IPадресагосорганов и «копирастов».