O Google notifica os usuários do Chromebook para redefinir suas chaves de segurança interna

Chromebook 2FA Vulnerability

A invenção da autenticação de dois fatores (2FA) foi necessária pelas falhas inerentes ao sistema tradicional de nome de usuário e senha. Os especialistas em segurança defendem seu uso há anos e, devido aos constantes elogios, algumas pessoas são tentadas a pensar que, ao ativar o 2FA, elas praticamente eliminaram as chances de aquisição de contas. É por isso que eles ativam o 2FA e prestam muito menos atenção às suas senhas.

Esses usuários tendem a esquecer, no entanto, que, se o 2FA falhar, a senha humilde é a única coisa que mantém seus dados seguros. E uma vulnerabilidade do Chromebook recentemente divulgada pelo Google fornece mais uma prova de que o 2FA pode falhar. Antes de chegarmos aos detalhes, precisamos ver como o sistema 2FA em questão funciona.

Alguns Chromebooks vêm com sistemas 2FA incorporados

Como você provavelmente sabe, o 2FA pode ser implementado de várias maneiras diferentes. Os especialistas consideram os sistemas que giram em torno do padrão U2F os mais seguros, porque o segundo fator geralmente depende de um token de hardware que não pode ser invadido pela Internet. Além disso, dentro dele, algoritmos criptográficos complexos geram chaves especiais que fornecem muito mais segurança quando comparadas aos códigos enviados por mensagens de texto ou senhas temporárias.

Há pouco mais de um ano, o Google decidiu implementar um sistema 2FA semelhante em seus Chromebooks. A diferença foi que acabou com os tokens de hardware adicionais. Em vez disso, tudo o que você precisa fazer para ativar o segundo fator é pressionar o botão Liga / Desliga no Chromebook. Inicialmente, o sistema estava disponível apenas nos Pixelbooks do Google, mas depois de um tempo, outros fabricantes começaram a usar chips que também o habilitavam em seu hardware. O Google chama a tecnologia de "Chave de segurança integrada" e é inflexível que ainda esteja em fase de teste. Claramente, há coisas que precisam ser abordadas.

Uma falha na implementação 2FA do Google coloca em risco as chaves de segurança

No coração do vulnerável sistema 2FA está um algoritmo de assinatura digital de curva elíptica (ECDSA), que deve gerar valores secretos aleatórios. Esses valores funcionam juntamente com assinaturas criptográficas registradas no serviço online para gerar as chaves que fornecem o segundo fator.

A equipe de segurança do Google descobriu que, devido a uma implementação incorreta do ECDSA, os valores gerados tinham entropia muito menor do que o previsto. Isso significava que um invasor poderia adivinhar quais eram esses valores e, usando assinaturas roubadas, calcular a chave mais importante, derrotando o segundo fator sem ter acesso ao Chromebook da vítima.

Deve-se dizer que nem todos podem desencadear esse ataque. Antes de tudo, os hackers precisam obter a assinatura correta, que geralmente é transmitida por HTTPS e é difícil de interceptar. Depois, eles terão que descobrir como a geração vulnerável da ECDSA funciona e calcular os valores exatos que eventualmente os levarão à chave.

A vulnerabilidade já foi corrigida

Apesar do fato de um ataque não parecer muito provável para a maioria das pessoas, o Google fez a coisa certa e corrigiu a falha de segurança. A versão 75 do Chrome OS vem com um patch, e os usuários do Chromebook (especialmente aqueles que possuem laptops listados na seção "Dispositivos afetados" da divulgação do Google ) devem verificar se estão instalados. As pessoas que usaram o sistema 2FA vulnerável também devem prestar atenção aos alertas que o SO mostra e substituir suas assinaturas registradas por novas.

Uma coisa que as pessoas não devem fazer é desativar o 2FA por causa de vulnerabilidades como a descrita acima. Sim, às vezes falha em agir da maneira que deveria, mas mesmo a implementação menos segura ainda adiciona uma camada de proteção que simplesmente não existe sem ela. Não esqueça, no entanto, que o primeiro fator é tão importante quanto o segundo.

September 17, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.