Što trebaš znati
- Istraživači iz Myska otkrili su da Google Authenticator ne šifrira korisničke 2FA kodove od kraja do kraja.
- Google može vidjeti "tajne" potrebne za 2FA kodove, čime korisnici postaju ranjivi na povrede podataka.
- Christiaan Brand iz Googlea odgovorio je izjavom da postoje planovi za dovođenje E2EE u Google Authenticator u budućnosti.
Nakon dugo očekivanog ažuriranja Google Authenticatora, softverska tvrtka Mysk izdao upozorenje za korisnike da ne omoguće značajku zbog zabrinutosti da značajka nije sigurna.
Dotično ažuriranje nedavno predstavljen opciju sinkronizacije za jednokratne kodove, koja bi korisnicima omogućila da ih pohrane na svoje Google račune. Ideja je bila spriječiti situaciju u kojoj je korisnik zaključan sa svih svojih računa jer su ti jednokratni kodovi prethodno bili pohranjeni na uređaju na kojem je aplikacija instalirana.
Mysk je pronašao dokaze da bi korisnici zainteresirani za korištenje značajke trebali uzeti u obzir da mrežni promet koji generira aplikacija Autentifikator nije end-to-end kriptiran. Osoba sa zlom namjerom mogla bi ukrasti "tajnu" ili "sjeme" koje se koristi za generiranje vašeg 2FA QR koda. Uz to, vaši napori u stvaranju jače sigurnosne barijere bili bi sporni.
Google je upravo ažurirao svoju aplikaciju 2FA Authenticator i dodao prijeko potrebnu značajku: mogućnost sinkronizacije tajni na svim uređajima. TL; DR: Ne pali ga. Novo ažuriranje omogućuje korisnicima da se prijave svojim Google računom i sinkroniziraju 2FA tajne na svojim iOS i Android uređajima.… pic.twitter.com/a8hhelupZR26. travnja 2023
Vidi više
Dodatno, Mysk spominje da 2FA QR kodovi mogu sadržavati druge podatke o vama, kao što je ime vašeg računa i naziv usluge za koju je kod. Nagađanja sugeriraju da bi Google mogao iskoristiti ove informacije kako bi vas bombardirao personaliziranim oglasima na svojim uslugama, ali to bi moglo predstavljati opasnost za korisnike. Mysk navodi da ako bi Google ikada pretrpio povredu podataka, vaši bi podaci letjeli pravo prema njima.
Kao odgovor, Christiaan Brand, voditelj proizvoda u Googleu, objasnio je nedostatak E2EE Autentifikatora u Cvrkut u četvrtak. Iako aplikacija ne nudi sigurnosnu zaštitu koju bi korisnici pozdravili, postoje planovi da se kasnije ponudi enkripcija. On navodi da Google kriptira vaše podatke iz svih svojih aplikacija, uključujući Autentifikator, kada su "u prolazu i mirovanju".
"U ovom trenutku vjerujemo da naš trenutni proizvod postiže pravu ravnotežu za većinu korisnika i pruža značajne prednosti u odnosu na offline upotrebu", nastavlja Brand. Nadalje, uključivanje jače enkripcije poput E2E moglo bi ponovno pojaviti mogućnost da korisnici ostanu bez pristupa svojim računima.
Međutim, kao prethodno spomenuto i ponovio Brand, sinkronizacija računa Google Authenticatora potpuno je izborna. Ako se korisnici osjećaju sigurnije koristeći aplikaciju u izvanmrežnom stanju, s kontrolom nad načinom na koji će sigurnosno kopirati svoje podatke, to im je i dalje dostupno.