Mitä sinun tarvitsee tietää
- Myskin tutkijat havaitsivat, että Google Authenticator ei salaa käyttäjien 2FA-koodeja päästä päähän.
- Google voi nähdä 2FA-koodeihin tarvittavat "salaisuudet", mikä tekee käyttäjistä alttiita tietomurroille.
- Christiaan Brand of Google vastasi toteamalla, että E2EE on tarkoitus tuoda Google Authenticatoriin tulevaisuudessa.
Google Authenticatorin kauan odotetun päivityksen jälkeen ohjelmistoyritys Mysk antoi varoituksen jotta käyttäjät eivät ota ominaisuutta käyttöön, koska he ovat huolissaan siitä, että ominaisuus ei ole turvallinen.
Kyseinen päivitys äskettäin esitelty kertakäyttöisten koodien synkronointivaihtoehto, jonka avulla käyttäjät voivat tallentaa ne Google-tileilleen. Ajatuksena oli auttaa estämään tilanne, jossa käyttäjä on lukittu pois kaikista tileistään, koska kyseiset kertakoodit oli aiemmin tallennettu laitteeseen, johon sovellus oli asennettu.
Mysk löysi todisteita siitä, että ominaisuuden käytöstä kiinnostuneiden käyttäjien on ehkä otettava huomioon, että Authenticator-sovelluksen luoma verkkoliikenne ei ole päästä päähän -salattua. Haitallinen henkilö voi varastaa "salaisen" tai "siemenen", jota käytetään 2FA QR-koodisi luomiseen. Sen avulla yrityksesi luoda vahvempi turvaeste olisi kiistanalainen.
Google on juuri päivittänyt 2FA Authenticator -sovelluksensa ja lisännyt kaivatun ominaisuuden: mahdollisuuden synkronoida salaisuudet laitteiden välillä. TL; DR: Älä käynnistä sitä. Uuden päivityksen avulla käyttäjät voivat kirjautua sisään Google-tilillään ja synkronoida 2FA-salaisuuksia iOS- ja Android-laitteidensa välillä.… pic.twitter.com/a8hhelupZR26. huhtikuuta 2023
Katso lisää
Lisäksi Mysk mainitsee, että 2FA QR-koodit voivat sisältää muita tietoja sinusta, kuten tilisi nimen ja palvelun nimen, jolle koodi on tarkoitettu. Spekulaatioiden mukaan Google voisi käyttää näitä tietoja pommittaakseen sinua personoiduilla mainoksilla kaikissa palveluissaan, mutta tämä voi aiheuttaa vaaraa käyttäjille. Mysk toteaa, että jos Google joutuisi koskaan joutumaan tietomurron uhriksi, tietosi lentävät suoraan niitä kohti.
Googlen tuotepäällikkö Christiaan Brand selitti vastauksena Authenticatorin E2EE: n puutteen. Tweet torstaina. Vaikka sovellus ei tarjoa suojausta, jonka käyttäjät olisivat tervetulleita, on suunnitelmia tarjota salausta myöhemmin. Hän toteaa, että Google salaa tietosi kaikista sovelluksistaan, mukaan lukien Authenticator, kun ne ovat "siirrettäessä ja lepotilassa".
"Tällä hetkellä uskomme, että nykyinen tuotteemme löytää oikean tasapainon useimmille käyttäjille ja tarjoaa merkittäviä etuja offline-käyttöön verrattuna", Brand jatkaa. Lisäksi vahvemman salauksen, kuten E2E: n, sisällyttäminen voi nostaa uudelleen esiin mahdollisuuden, että käyttäjät eivät pääse pääsemään tililleen.
Kuitenkin, kuten aiemmin mainittu ja Brand toisti, että Google Authenticatorin tilin synkronointi on täysin valinnainen. Jos käyttäjät tuntevat olonsa turvallisemmaksi käyttäessään sovellusta offline-tilassa ja he voivat hallita tietojensa varmuuskopiointia, se on edelleen heidän käytettävissään.