Aanvallers waren zeven maanden lang in staat om de twee-factor authenticatie van Google te omzeilen via toegang tot de applicatie specifieke wachtwoorden van gebruikers. Dat ontdekten onderzoekers van Duo Security. Bij het inschakelen van de '2-staps verificatie' vraagt Google om een applicatie specifiek wachtwoord (ASP) voor elke applicatie die wordt gebruikt en geen 2-staps verificatie ondersteunt.

Vervolgens wordt het ASP in plaats van het eigenlijke wachtwoord gebruikt. ASPs worden voornamelijk gemaakt voor cliëntapplicaties die geen webgebaseerde login gebruiken, zoals e-mailclients, chatclients en kalenderapplicaties. In recente versies van Android en ChromeOS had Google een 'auto-login' mechanisme voor Google-accounts aan de browser toegevoegd.

Auto-login
Nadat een Android-apparaat aan een Google-account was gekoppeld, gebruikte de browser de bestaande autorisatie van het Android-apparaat om Google's webgebaseerde inlogvenster over te slaan. Het auto-login mechanisme zou zelfs voor de gevoeligste onderdelen van Google's accountinstellingen portal werken, waaronder de “Account recovery optie” pagina.

Op deze pagina kunnen gebruikers e-mailadressen en telefoonnummers toevoegen of wijzigen waar Google een e-mail naar toe stuurt om het wachtwoord te wijzigen. Zodra een aanvaller toegang tot deze pagina weet te krijgen, kan hij de volledige controle over het account overnemen. Een aanvaller moet wel eerst toegang tot het Android-apparaat van de gebruiker krijgen.

Patch
Volgens Duo Security is het een vrij groot lek in een verder sterk authenticatiesysteem. Google werd op 18 juli 2012 over het probleem ingelicht en heeft het vorige week met Chrome 25 opgelost. Zelfs voor de patch was het beter om twee-factor authenticatie te gebruiken dan helemaal niet, laat het beveiligingsbedrijf op het eigen blog weten.