Amit tudnod kell
- A Mysk kutatói azt találták, hogy a Google Authenticator nem titkosítja végpontokig a felhasználók 2FA kódjait.
- A 2FA kódokhoz szükséges "titkokat" a Google láthatja, így a felhasználókat sebezhetővé teszi az adatszivárgásokkal szemben.
- Christiaan Brand of Google válaszában kijelentette, hogy a tervek szerint a jövőben az E2EE-t bevezetik a Google Authenticatorba.
A Google Authenticator régóta várt frissítését követően a Mysk szoftvercég figyelmeztetést adott ki hogy a felhasználók ne engedélyezzék a funkciót, mert aggódnak, hogy a szolgáltatás nem biztonságos.
A kérdéses frissítés nemrég bemutatott szinkronizálási lehetőség az egyszeri kódokhoz, amely lehetővé teszi a felhasználók számára, hogy tárolják azokat Google-fiókjukban. Az ötlet az volt, hogy segítsenek megelőzni egy olyan helyzetet, amikor a felhasználót kizárják az összes fiókjából, mivel ezeket az egyszeri kódokat korábban azon az eszközön tárolták, amelyre az alkalmazást telepítették.
A Mysk bizonyítékot talált arra vonatkozóan, hogy a funkció használata iránt érdeklődő felhasználóknak figyelembe kell venniük, hogy az Authenticator alkalmazás által generált hálózati forgalom nincs végpontok között titkosítva. Egy rosszindulatú személy ellophatja azt a „titkot” vagy „magot”, amelyet a 2FA QR-kód generálására használnak. Ezzel az erősebb biztonsági korlát létrehozására irányuló erőfeszítései vitathatatlanok lennének.
A Google nemrég frissítette a 2FA Authenticator alkalmazását, és hozzáadott egy nagyon szükséges funkciót: a titkok szinkronizálásának lehetőségét az eszközök között. TL; DR: Ne kapcsolja be. Az új frissítés lehetővé teszi a felhasználók számára, hogy bejelentkezzenek Google-fiókjukkal, és szinkronizálják a 2FA titkokat iOS és Android készülékeik között.… pic.twitter.com/a8hhelupZR2023. április 26
Többet látni
Ezenkívül a Mysk megemlíti, hogy a 2FA QR-kódok képesek más információkat is tartalmazni Önről, például a fiók nevét és a szolgáltatás nevét, amelyhez a kód tartozik. A találgatások azt sugallják, hogy a Google felhasználhatja ezeket az információkat arra, hogy személyre szabott hirdetésekkel bombázza a szolgáltatásaiban, de ez veszélyt jelenthet a felhasználók számára. A Mysk kijelenti, hogy ha a Google-t valaha is adatvédelmi incidens érné, az Ön információi közvetlenül feléjük szállnának.
Válaszul Christiaan Brand, a Google termékmenedzsere elmagyarázta az Authenticator E2EE hiányát. Csipog csütörtökön. Bár az alkalmazás nem nyújt olyan biztonsági védelmet, amelyet a felhasználók szívesen látnának, a tervek szerint a későbbiekben titkosítást is kínálnak majd. Kijelenti, hogy a Google titkosítja az Ön adatait az összes alkalmazásából, beleértve az Authenticatort is, amikor azok „továbbításban vannak és nyugalmi állapotban vannak”.
"Jelenleg úgy gondoljuk, hogy jelenlegi termékünk megfelelő egyensúlyt teremt a legtöbb felhasználó számára, és jelentős előnyöket biztosít az offline használathoz képest" - folytatja Brand. Ezen túlmenően az erősebb titkosítás, például az E2E alkalmazása újra felveti annak lehetőségét, hogy a felhasználók kizárják fiókjukat.
Azonban mint korábban említett A Google Authenticator fiókszinkronizálása teljes mértékben opcionális. Ha a felhasználók biztonságosabban használják az alkalmazást offline állapotban, és szabályozhatják, hogyan készítsenek biztonsági másolatot adataikról, ez továbbra is elérhető számukra.