درخواست کے مطابق مخصوص پاس ورڈ Google کے دو عنصر کی توثیق کو کمزور کرتا ہے. انفرادی ایپلی کیشنز کے لئے استعمال شدہ منفرد پاس ورڈوں کو غلط کرکے کمپنی کے 2 مرحلے کے لاگ ان کی تصدیق سے باخبر رہنے کے لئے.

ڈو سیکیورٹی محققین کے مطابق، گوگل نے 21 فروری کو غلطی طے کردی، لیکن اس واقعہ نے اس حقیقت پر روشنی ڈالی ہے کہ Google کے مخصوص-مخصوص پاسورڈز گرینولر فراہم نہیں کرتے ہیں. اکاؤنٹ کے اعداد و شمار پر کنٹرول کریں.

فعال ہونے پر، Google کی 2 مرحلہ کی توثیق کے نظام کو اضافی کوڈوں کی اضافی اضافی اضافی ضرورت ہوتی ہے لاگ ان کرنے کے لئے اکاؤنٹ کے باقاعدگی سے پاسورڈ میں ن. یہ اکاؤنٹس کو روکنے سے روکنے کے لئے ڈیزائن کیا گیا ہے یہاں تک کہ جب پاس ورڈ سمجھو. منفرد کوڈ یا تو اکاؤنٹ سے منسلک ایک فون نمبر پر یا وصول کیا جاسکتا ہے یا اسمارٹ فون کی درخواست کے ذریعے پیدا کیا جاسکتا ہے.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

تاہم، صرف 2 مرحلے کی توثیق گوگل کی سائٹ کے ذریعے لاگ ان کرتے وقت کام کرتا ہے. ڈیسک ٹاپ ای میل کلائنٹس کو ایڈجسٹ کرنے کے لئے، پروگراموں کو چیٹ، کیلنڈر ایپلی کیشنز اور اسی طرح، گوگل نے درخواست کے مخصوص پاس ورڈ (ASPs) کا تصور متعارف کرایا. یہ بے ترتیب طور پر تخلیق کردہ پاسورڈز ہیں جو ایپلی کیشنز کو دوسری تصدیق کے عنصر کے بغیر اکاؤنٹ تک رسائی حاصل کرنے کی اجازت دیتا ہے. اکاؤنٹ کے اہم پاسورڈ کو تبدیل کرنے کے بغیر کسی بھی وقت اے ایس پی کو منسوخ کر دیا جا سکتا ہے.

مسئلہ ہے، "اے پی ایس نافذ کرنے والے شرائط کی شرائط میں ہیں- اصل میں درخواست میں مخصوص نہیں!" ڈو سیکورٹی محققین نے پیر کے روز ایک بلاگ پوسٹ میں کہا. "اگر آپ XMPP چیٹ کلائنٹ میں استعمال کے لئے ایک ایس ایس پی تخلیق کرتے ہیں تو اسی طرح اے ایس پی بھی اپنے ای میل کو IMAP پر پڑھنے کے لئے استعمال کرسکتا ہے یا کیلڈوی کے ساتھ آپ کے کیلنڈر کے واقعات کو پکڑنے کے لئے بھی استعمال کیا جا سکتا ہے."

محققین نے ایک غلطی پایا لوڈ، اتارنا Android کے تازہ ترین ورژن میں کروم میں لاگو آٹو لاگ ان میکانزم جس نے انہیں Google اکاؤنٹ کی وصولی اور 2 قدم کی توثیق کی ترتیبات تک رسائی حاصل کرنے کے لئے ایک ایس ایس پی کا استعمال کرنے کی اجازت دی.

اسباب میں، غلطی نے حملہ آور کی اجازت دی تھی اس اکاؤنٹ کے ساتھ منسلک موبائل فون نمبر اور بازیابی ای میل ایڈریس کو تبدیل کرنے کیلئے Google اکاؤنٹ کے لئے ایک ایس ایس پی چرا لیا یا مکمل طور پر 2 مرحلے کی توثیق کو غیر فعال کر دیں.

"ایک صارف نام، ایک ایس ایس پی اور https کے لئے ایک سنگل درخواست دی گئی ہے: //android.clients.google.com/auth، ہم کسی بھی لاگ ان کی فوری طور پر (یا 2 قدم کی توثیق) کے بغیر کسی بھی Google ویب پراپرٹی میں لاگ ان کرسکتے ہیں! " ڈو سیکورٹی محققین نے کہا. "یہ اب 21 فروری کو نہیں ہے، جب Google انجنیئر نے اس چھٹکارے کو بند کرنے کا فیصلہ کیا ہے."

اس مسئلے کو حل کرنے کے علاوہ، گوگل نے واضح طور پر درخواست کی مخصوص پاس ورڈ پیدا کرنے کے بعد ظاہر کیا پیغام بھی تبدیل کر دیا. صارفین کو خبردار کرنے کے لئے کہ "یہ پاس ورڈ آپ کے Google اکاؤنٹ تک مکمل رسائی فراہم کرتا ہے."

"ہم سوچتے ہیں کہ یہ ایک مستحکم نظام میں اہم سوراخ ہے اگر کوئی صارف ابھی تک کسی بھی قسم کا پاسورڈ ہے جس پر پورا کرنے کے لئے کافی ہے اپنے اکاؤنٹ کا کنٹرول، "ڈو سیکورٹی محققین نے کہا. "تاہم، ہم ابھی بھی یقین دہانی کر رہے ہیں کہ گوگل کے 2 مرحلے کی توثیق کو درست کرنے سے پہلے بھی ان کو درست بنانے سے پہلے غیر منصفانہ طور پر ایسا نہیں کیا گیا تھا."

اس نے کہا کہ، محققین کو دیکھنا چاہیے کہ گوگل کسی قسم کی میکانیزم کو لاگو کرنا چاہتی ہے. OAuth ٹکنز کی طرح یہ ہے کہ ہر فرد کے مخصوص مخصوص پاسورڈ کے استحکام کو محدود کرنے کی اجازت دی جائے گی.

Google نے فوری طور پر اس غلطی یا مستقبل میں درخواست کے مخصوص پاسورڈز کے لئے زیادہ دانی دار کنٹرول کو لاگو کرنے کے لئے ممکنہ منصوبوں کے بارے میں تبصرہ کرنے کی درخواست نہیں کی.