Duo Labs upptäckte en sårbarhet som tillät kringgående av Googles tvåstegsverifiering genom att missbruka applikationsspecifika lösenord (ASPs). Attacken möjliggjorde full kontroll över ett Google-konto, inklusive återställning av huvudlösenordet, genom att utnyttja en auto-inloggningsmekanism i Android och ChromeOS. ASPs, trots sitt namn, gav full åtkomst till ett konto snarare än begränsad applikationsspecifik åtkomst, vilket var en central svaghet som även Google själva hade noterat. Google har sedan upptäckten implementerat ändringar för att mildra de allvarligaste hoten som Duo Labs identifierade. Artikeln beskriver de tekniska detaljerna för hur attacken utfördes, inklusive användning av en Intercepting proxy och analys av GoogleClientLogin API.