Was du wissen musst
- Forscher von Mysk fanden heraus, dass Google Authenticator die 2FA-Codes der Benutzer nicht Ende-zu-Ende verschlüsselt.
- Die für die 2FA-Codes benötigten „Geheimnisse“ können von Google eingesehen werden, wodurch Nutzer anfällig für Datenschutzverletzungen werden.
- Christiaan Brand von Google antwortete mit der Aussage, dass es Pläne gebe, E2EE in Zukunft in Google Authenticator zu integrieren.
Nach dem lang erwarteten Update von Google Authenticator hat das Softwareunternehmen Mysk eine Warnung ausgesprochen für Benutzer, die Funktion nicht zu aktivieren, weil sie befürchten, dass die Funktion nicht sicher ist.
Das betreffende Update kürzlich eingeführt eine Synchronisierungsoption für Einmalcodes, die es Benutzern ermöglichen würde, diese in ihren Google-Konten zu speichern. Die Idee bestand darin, eine Situation zu verhindern, in der ein Benutzer von allen seinen Konten ausgeschlossen wird, da diese Einmalcodes zuvor auf dem Gerät gespeichert waren, auf dem die App installiert war.
Mysk fand Hinweise darauf, dass Benutzer, die die Funktion nutzen möchten, möglicherweise berücksichtigen müssen, dass der von der Authenticator-App generierte Netzwerkverkehr nicht Ende-zu-Ende-verschlüsselt ist. Eine Person mit böswilliger Absicht könnte das „Geheimnis“ oder den „Seed“ stehlen, der zur Generierung Ihres 2FA-QR-Codes verwendet wird. Damit wären Ihre Bemühungen, eine stärkere Sicherheitsbarriere zu schaffen, hinfällig.
Google hat gerade seine 2FA Authenticator-App aktualisiert und eine dringend benötigte Funktion hinzugefügt: die Möglichkeit, Geheimnisse geräteübergreifend zu synchronisieren. TL; DR: Schalten Sie es nicht ein. Das neue Update ermöglicht es Benutzern, sich mit ihrem Google-Konto anzumelden und 2FA-Geheimnisse auf ihren iOS- und Android-Geräten zu synchronisieren.… pic.twitter.com/a8hhelupZR26. April 2023
Mehr sehen
Darüber hinaus erwähnt Mysk, dass 2FA-QR-Codes andere Informationen über Sie enthalten können, beispielsweise Ihren Kontonamen und den Namen des Dienstes, für den der Code bestimmt ist. Spekulationen deuten darauf hin, dass Google diese Informationen nutzen könnte, um Sie in seinen Diensten mit personalisierter Werbung zu bombardieren, was jedoch eine Gefahr für die Nutzer darstellen könnte. Mysk gibt an, dass Ihre Daten im Falle einer Datenpanne bei Google direkt auf das Unternehmen zufliegen würden.
Als Reaktion darauf erklärte Christiaan Brand, Produktmanager bei Google, das Fehlen von E2EE bei Authenticator in einem Twittern am Donnerstag. Auch wenn die App nicht den Sicherheitsschutz bietet, den sich Benutzer wünschen würden, gibt es Pläne, später eine Verschlüsselung anzubieten. Er gibt an, dass Google Ihre Daten aus allen seinen Apps, einschließlich Authenticator, verschlüsselt, wenn sie „in der Übertragung und im Ruhezustand“ sind.
„Im Moment glauben wir, dass unser aktuelles Produkt für die meisten Benutzer die richtige Balance bietet und erhebliche Vorteile gegenüber der Offline-Nutzung bietet“, fährt Brand fort. Darüber hinaus könnte die Einbeziehung einer stärkeren Verschlüsselung wie E2E die Möglichkeit wieder zum Vorschein bringen, dass Benutzer von ihren Konten ausgeschlossen werden.
Allerdings da zuvor erwähnt und Brand bekräftigt, dass die Kontosynchronisierung mit Google Authenticator völlig optional ist. Wenn sich Benutzer bei der Verwendung der App im Offline-Zustand sicherer fühlen und die Kontrolle darüber haben, wie sie ihre Informationen sichern, steht ihnen diese weiterhin zur Verfügung.