ما تحتاج إلى معرفته
- وجد باحثون من Mysk أن Google Authenticator لا يقوم بتشفير رموز 2FA للمستخدمين من طرف إلى طرف.
- يمكن لـ Google رؤية "الأسرار" اللازمة لأكواد 2FA مما يجعل المستخدمين عرضة لانتهاكات البيانات.
- استجابت Christiaan Brand من Google بالقول إن هناك خططًا لجلب E2EE إلى Google Authenticator في المستقبل.
بعد تحديث Google Authenticator الذي طال انتظاره ، شركة البرمجيات Mysk أصدر تحذيرًا للمستخدمين عدم تمكين الميزة بسبب مخاوف من أن الميزة غير آمنة.
التحديث في السؤال قدم مؤخرا خيار مزامنة للرموز لمرة واحدة ، والذي من شأنه أن يسمح للمستخدمين بتخزينها في حسابات Google الخاصة بهم. كانت الفكرة هي المساعدة في منع حدوث موقف يتم فيه حظر المستخدم من جميع حساباته نظرًا لأنه تم تخزين هذه الرموز لمرة واحدة مسبقًا على الجهاز الذي تم تثبيت التطبيق عليه.
وجدت Mysk دليلًا على أن المستخدمين المهتمين باستخدام الميزة قد يحتاجون إلى مراعاة أن حركة مرور الشبكة الناتجة عن تطبيق Authenticator ليست مشفرة من طرف إلى طرف. يمكن لأي شخص لديه نية ضارة أن يسرق "السر" أو "البذرة" المستخدمة لإنشاء رمز 2FA QR الخاص بك. مع ذلك ، ستكون جهودك في إنشاء حاجز أمني أقوى موضع نقاش.
قامت Google للتو بتحديث تطبيق 2FA Authenticator الخاص بها وأضافت ميزة تشتد الحاجة إليها: القدرة على مزامنة الأسرار عبر الأجهزة. TL ؛ DR: لا تقم بتشغيله. يسمح التحديث الجديد للمستخدمين بتسجيل الدخول باستخدام حساب Google ومزامنة أسرار المصادقة الثنائية عبر أجهزتهم التي تعمل بنظام iOS و Android.... pic.twitter.com/a8hhelupZR26 أبريل 2023
شاهد المزيد
بالإضافة إلى ذلك ، يذكر Mysk أن رموز 2FA QR لديها القدرة على احتواء معلومات أخرى عنك ، مثل اسم حسابك واسم الخدمة التي يستخدمها الرمز. تشير التكهنات إلى أن Google يمكنها استخدام هذه المعلومات لقصفك بإعلانات مخصصة عبر خدماتها ، ولكن هذا قد يؤدي إلى خطر على المستخدمين. تنص Mysk على أنه إذا تعرضت Google في أي وقت لخرق البيانات ، فإن معلوماتك ستطير باتجاههم مباشرة.
رداً على ذلك ، أوضح كريستيان براند ، مدير المنتج في Google ، افتقار Authenticator لـ E2EE في ملف سقسقة يوم الخميس. على الرغم من أن التطبيق لا يوفر الحماية الأمنية التي يرحب بها المستخدمون ، إلا أن هناك خططًا لتقديم التشفير لاحقًا. ويذكر أن Google تقوم بتشفير بياناتك من جميع تطبيقاتها ، بما في ذلك Authenticator ، عندما تكون "قيد النقل وفي حالة الراحة".
"في الوقت الحالي ، نعتقد أن منتجنا الحالي يحقق التوازن الصحيح لمعظم المستخدمين ويوفر فوائد كبيرة مقارنة بالاستخدام غير المتصل" ، تتابع العلامة التجارية. علاوة على ذلك ، فإن تضمين تشفير أقوى مثل E2E قد يعيد إلى السطح إمكانية أن يصبح المستخدمون محجوبين من حساباتهم.
ولكن كما التي سبق ذكرها وأكدت العلامة التجارية أن مزامنة حساب Google Authenticator اختيارية تمامًا. إذا شعر المستخدمون بمزيد من الأمان عند استخدام التطبيق في حالة عدم الاتصال بالإنترنت ، مع التحكم في كيفية نسخ معلوماتهم احتياطيًا ، فسيظل ذلك متاحًا لهم.