| | | | Mottó: A lánc olyan erős, mint a leggyengébb láncszem. /Laurell Kaye Hamilton: Égő áldozatok/ | 2024. április 24. | | | | TOTP: Happy Birthday, unsafe Google Authenticator! | | | | | Pontosan egy évvel ezelőtt, 2023. április 24-én jelentették be a Google Security Blog oldalán, hogy hurrá, új funkcióval bővült a Google Authenticator mobil alkalmazás: most már mindent tárolni fog a felhőben is a Google-fiókban ("adds the ability to safely backup your one-time codes (also known as one-time passwords or OTPs) to your Google Account").
Korábban a Google Authenticator mobil alkalmazás "offline" módon működött, azaz kizárólag helyben - pl. a mobil eszközben - tárolta a különböző - pl. az Ügyfélkapu+ vagy GitHub, Facebook - szolgáltatásokhoz használt kétfaktoros (vagy kétlépcsős) bejelentkezéseink kulcsait és számolta ki 30 másodpercenként az éppen aktuális értéket. Ebben az esetben az egyetlen mód a kulcsok kinyerésére az volt, ha valaki - root jogosultsággal - könyvtárak és állományok szintjén kezdett el kutakodni a mobil eszközön a Google Authenticator mobil alkalmazás SQLite adatbázisában.[..]/com.google.android.apps.authenticator2/databases/[..] Sajnos, pontosan ez az "offline" működési mód változott meg a tavalyi bejelentéssel: most már "online" módban működik alapértelmezetten a Google Authenticator mobil alkalmazás, azaz a háttérben feltölti az érzékeny adatokat, a kulcsokat a távoli tárhelyre. És ez azért érdekes, mert innentől kezdve már nem az a kérdés, hogy milyen erős az Ügyfélkapu+ kulcsunk, hanem az, hogy milyen erős védelemmel bír a Google-fiókunk, ami az Ügyfélkapu+ kulcsunkat védi?!
Gyorsan érdemes megjegyezni, hogy lehet azért még most is Google-fiók nélkül (Google-fiókból kilépve) használni a Google Authenticator mobil alkalmazást. Ebben az esetben a Google Authenticator mobil alkalmazás nem tudja Google-fiókhoz tartozó tárhelyre feltölteni, azzal szinkronizálni az adatokat. De 2023. április 24-e óta nem ez az alapértelmezett működés, azaz ezt külön ki kell kapcsolni! Ha nem figyelünk erre, akkor lehet belőle problémánk...1. Google Authenticator (jobb felső sarok "icon") 2. Use without an account De hogy is lehet megszerezni az Ügyfélkapu+ kulcsát a Google-fiókhoz hozzáférve? Nos, annak ellenére, hogy tényleg rengeteg adatot tárol a Google-fiók a mobilon kívül is - ahonnan új mobil eszközre költözve, ugyanazon Google-fiókot használva könnyen és gyorsan beállíthatók a korábbi paraméterek, névjegyek, kulcsok is -, nem mind láthatók ezek az érzékeny adatok, kulcsok (mint az Ügyfélkapu+ kulcsa) a Google-fiókba belépve, sőt, a Google Takeout révén sem mind exportálhatók (erről írnak az egyik support jegynél is).Google Authenticator codes can be transferred Use "Transfer Accounts" in the Authenticator menu.
/https://support.google.com/accounts/thread/68984003/how-do-i-import-all-data-from-one-google-account-to-another?hl=en/ Jelenleg kizárólag a Google Authenticator mobil alkalmazás felületén lehet kezdeményezni egy vagy több kulcs exportálását, amelynek során QR kódként jelenik meg a paraméterhalmaz a képernyőn, amit egy másik - az új - mobil eszközzel leolvasva, Google-fióktól függetlenül is lehet importálni.Tehát, ha meg akarjuk szerezni valakinek az erős Ügyfélkapu+ kulcsát, akkor előbb meg kell szerezni a Google-fiók gyenge jelszavát, amibe ha belépünk, akkor már tudjuk telepíteni az áldozat nevében futó Google Authenticator mobil alkalmazást, ami automatikusan fogja szinkronizálni a felhőből az érzékeny adatokat. Utána pedig már azt csinálunk, amit akarunk: használhatjuk az áldozat Google-fiókjába belépve az áldozat Ügyfélkapu+ kulcsát, de két kattintás révén lehet akár exportálni, és egy másik mobilon - a támadó Google-fiókja alatt - importálni is.1. Google Authenticator (bal felső sarok "menu") 2. Transfer accounts 3. Export accounts 4. Select accounts 5. Scan this QR code 6. otpauth-migration://offline?data=<BASE64> 7. otpauth://totp/<UID>@ugyfelkapu.gov.hu?secret=<BASE32> Az otpauth-migration://offline?data=<BASE64> dekódolás után:
Az tehát, hogy jelenleg kizárólag a Google Authenticator mobil alkalmazás felületén lehet kezdeményezni egy vagy több kulcs exportálását (és nem a Google-fiók felületén), még nem megnyugtató, hiszen az áldozat Google-fiókjába való belépéshez szükséges adatok (pl. jelszó) megszerzése még mindig egyszerűbb feladatnak tűnik, mint az Ügyfélkapu+ kulcsának kitalálása.
De hogy lehet akkor megvédeni az Ügyfélkapu+ kulcsunkat? A legjobb, ha erős védelemmel látjuk el az Ügyfélkapu+ kulcsunkat tároló Google-fiókot és akkor megmaradhat a most már alapértelmezett "online" módú működés a Google Authenticator mobil alkalmazásnál. Vagy... Kikapcsoljuk a Google Authenticator mobil alkalmazás szinkronizálását. Vagy... Eleve olyan alkalmazást kell használnunk (Google Authenticator mobil alkalmazás helyett), amelyik biztosan "offline" módban működik. FIGYELEM! Az "offline" módú alkalmazásoknál viszont - nem lehet elégszer hangsúlyozni, hogy - magunknak kell megoldani a kulcsok, azaz a regisztrációkor kapott QR kódok vagy string értékek biztonsági mentését, hogy amikor új mobil eszközre akarunk átköltözni, akkor ezeket ismételten be tudjuk állítani. A kérdés csak az, hogy vajon melyiket a legegyszerűbb elmagyarázni az átlagos felhasználónak...
Kapcsolódó anyagok:
| | vissza | | | | |
|