Kas jums jāzina
- Pētnieki no Mysk atklāja, ka Google autentifikators nešifrē lietotāju 2FA kodus no gala līdz galam.
- Google var redzēt "noslēpumus", kas nepieciešami 2FA kodiem, tādējādi padarot lietotājus neaizsargātus pret datu pārkāpumiem.
- Kristians zīmols no Google atbildēja, norādot, ka nākotnē ir plānots iekļaut E2EE pakalpojumā Google Authenticator.
Pēc Google Authenticator ilgi gaidītā atjauninājuma programmatūras uzņēmums Mysk izteica brīdinājumu lai lietotāji neiespējotu šo funkciju, jo pastāv bažas, ka funkcija nav droša.
Attiecīgais atjauninājums nesen ieviests sinhronizācijas opcija vienreizējiem kodiem, kas ļautu lietotājiem tos saglabāt savos Google kontos. Ideja bija palīdzēt novērst situāciju, kad lietotājs tiek bloķēts no visiem saviem kontiem, jo šie vienreizējie kodi iepriekš tika saglabāti ierīcē, kurā tika instalēta lietotne.
Mysk atklāja pierādījumus tam, ka lietotājiem, kuri vēlas izmantot šo funkciju, var būt jāņem vērā, ka lietotnes Autentifikators ģenerētā tīkla trafika nav pilnībā šifrēta. Persona ar ļaunprātīgu nolūku var nozagt "noslēpumu" vai "sēklu", kas tiek izmantota jūsu 2FA QR koda ģenerēšanai. Tādējādi jūsu centieni izveidot spēcīgāku drošības barjeru būtu apšaubāmi.
Google tikko atjaunināja savu 2FA Authenticator lietotni un pievienoja ļoti nepieciešamo funkciju: iespēju sinhronizēt noslēpumus dažādās ierīcēs. TL; DR: Neieslēdziet to. Jaunais atjauninājums ļauj lietotājiem pierakstīties ar savu Google kontu un sinhronizēt 2FA noslēpumus savās iOS un Android ierīcēs.… pic.twitter.com/a8hhelupZR2023. gada 26. aprīlis
Redzēt vairāk
Turklāt Mysk norāda, ka 2FA QR kodi var saturēt citu informāciju par jums, piemēram, jūsu konta nosaukumu un pakalpojuma nosaukumu, kuram kods ir paredzēts. Spekulācijas liecina, ka Google varētu izmantot šo informāciju, lai bombardētu jūs ar personalizētām reklāmām savos pakalpojumos, taču tas var radīt briesmas lietotājiem. Mysk norāda, ka gadījumā, ja Google kādreiz piedzīvos datu pārkāpumu, jūsu informācija nonāktu tieši viņu virzienā.
Atbildot uz to, Google produktu menedžeris Kristians Brends paskaidroja, ka Authenticator trūkst E2EE. Čivināt ceturtdien. Lai gan lietotne nepiedāvā drošības aizsardzību, ko lietotāji vēlētos, vēlāk tiek plānots piedāvāt šifrēšanu. Viņš norāda, ka Google šifrē jūsu datus no visām savām lietotnēm, tostarp no Autentifikatora, kad tie ir "pārsūtīšanas un atpūtas stāvoklī".
"Šobrīd mēs uzskatām, ka mūsu pašreizējais produkts nodrošina pareizo līdzsvaru lielākajai daļai lietotāju un sniedz ievērojamas priekšrocības salīdzinājumā ar lietošanu bezsaistē," turpina Brends. Turklāt spēcīgākas šifrēšanas, piemēram, E2E, iekļaušana varētu atjaunot iespēju, ka lietotāji var tikt bloķēti no saviem kontiem.
Tomēr kā iepriekš minēts un atkārtoti norāda Brand, Google autentifikatora konta sinhronizācija nav obligāta. Ja lietotāji jūtas drošāk, izmantojot lietotni bezsaistes stāvoklī un kontrolējot, kā viņi dublē savu informāciju, tas viņiem joprojām ir pieejams.