miércoles, 12 de julio de 2017

Torear doble autenticación de Google sin saber informática

Entre las mejoras de seguridad en la gestión de credenciales esta la autenticacion con dos factores, en muchos casos una contraseña y un dispositivo físico, como con las tarjetas de crédito y en otros la contraseña y un código enviado al teléfono móvil, método empleado en muchos servicios de Internet: Google, Facebook o Twitter por mencionar alguno.

En el caso de Google una vez configurada la cuenta, para poder iniciar sesión en los servicios de Google, acceder al mail, etc se solicita un código enviado al teléfono móvil, de tal forma que aunque alguien haya robado nuestra contraseña, no podría acceder a nuestra cuenta sin el teléfono.


Este método es muy útil cuando utilizamos ordenadores portátiles, que pueden perderse o ser sustraídos, o en el caso de iniciar sesión en equipos de lugares públicos, pero hay que tener especial cuidado con el check que muestra la imagen, en muchos casos activado por defecto, que puede comprometer la seguridad de nuestra cuenta.

Lo que sucede cuando Google (No volver a preguntar en este ordenador) confía en un equipo utilizando Firefox es que almacena esa información en el perfil de Mozilla como se muestra en la siguiente imagen:


Este perfil esta en la ruta: %AppData%\Mozilla\Firefox\Profiles\ y puede copiarse y utilizarlo en otro equipo, accediendo a las credenciales almacenadas en el navegador y también a las "confianza de Google en el equipo" que se guarda en la base de datos de cookies cookies.sqlite.



Una comprobación sencilla de este proceso seria la siguiente:
  1. Iniciar sesión en Gmail y marcar el check de "No volver a preguntar"
  2. Cerrar sesión y verificar que se puede iniciar sesión sin que te solicite el código del móvil.
  3. Cerrar el navegador y mover el archivo cookies.sqlite a otra ubicación, fuera del perfil.
  4. Iniciar sesion en Gmail y verificar que se solicita el código móvil y este se envía al teléfono.
  5. Cerrar el navegador y volver a mover el archivo cookies.sqlite al perfil, se habra creado un archivo nuevo cookies.sqlite, indicamos que se sobreescriba, prevaleciendo el original.
  6. Al iniciar sesión nuevamente en Google, no pide el código, incluso cuando Google genero un código nuevo que nos envió al teléfono móvil.
Esto quiere decir, que si alguien accede al perfil del navegador que tenga nuestras credenciales y Google confía en ese equipo/navegador puede utilizar ese perfil en otro equipo e iniciar sesión con las credenciales y sin necesidad del teléfono móvil, el proceso es tan sencillo como copiar la carpeta del perfil, pegarla en %appdata%\Mozilla\Firefox\Profiles\ de otro equipo con Firefox y modificar el archivo profiles.ini como se aprecia en la imagen:


Una manera sencilla de "torear el doble factor de autenticacion de Google" sin saber de informática, espero que os gustara... ;D
 
Seguridad lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias