Co musisz wiedzieć
- Badacze z Mysk odkryli, że Google Authenticator nie szyfruje kompleksowo kodów 2FA użytkowników.
- „Sekrety” potrzebne do kodów 2FA mogą być widoczne dla Google, co naraża użytkowników na naruszenia danych.
- Christiaan Brand z Google odpowiedział, że w przyszłości planuje wprowadzić E2EE do Google Authenticator.
Po długo oczekiwanej aktualizacji Google Authenticator, firma programistyczna Mysk wydał ostrzeżenie dla użytkowników, aby nie włączali tej funkcji z powodu obaw, że funkcja nie jest bezpieczna.
Omawiana aktualizacja niedawno wprowadzony opcja synchronizacji kodów jednorazowych, która pozwoliłaby użytkownikom przechowywać je na swoich kontach Google. Chodziło o to, aby zapobiec sytuacji, w której użytkownik zostanie zablokowany na wszystkich swoich kontach, ponieważ te jednorazowe kody były wcześniej przechowywane na urządzeniu, na którym zainstalowano aplikację.
Mysk znalazł dowody na to, że użytkownicy zainteresowani korzystaniem z tej funkcji mogą być zmuszeni wziąć pod uwagę fakt, że ruch sieciowy generowany przez aplikację Authenticator nie jest szyfrowany metodą end-to-end. Osoba o złych intencjach może ukraść „tajemnicę” lub „ziarno”, które jest używane do generowania kodu QR 2FA. Dzięki temu twoje wysiłki na rzecz stworzenia silniejszej bariery bezpieczeństwa byłyby dyskusyjne.
Google właśnie zaktualizowało swoją aplikację 2FA Authenticator i dodało bardzo potrzebną funkcję: możliwość synchronizacji tajemnic między urządzeniami. TL; DR: Nie włączaj tego. Nowa aktualizacja umożliwia użytkownikom logowanie się za pomocą konta Google i synchronizowanie tajnych funkcji 2FA na urządzeniach z systemem iOS i Android.… pic.twitter.com/a8hhelupZR26 kwietnia 2023 r
Zobacz więcej
Ponadto Mysk wspomina, że kody QR 2FA mogą zawierać inne informacje o tobie, takie jak nazwa twojego konta i nazwa usługi, dla której kod jest przeznaczony. Spekulacje sugerują, że Google może wykorzystać te informacje do bombardowania Cię spersonalizowanymi reklamami w swoich usługach, ale może to oznaczać zagrożenie dla użytkowników. Mysk twierdzi, że gdyby Google kiedykolwiek doznało naruszenia danych, Twoje informacje poleciałyby prosto w ich stronę.
W odpowiedzi Christiaan Brand, menedżer produktu w Google, wyjaśnił brak E2EE w aplikacji Authenticator Ćwierkać w czwartek. Chociaż aplikacja nie oferuje ochrony, której użytkownicy byliby mile widziani, istnieją plany oferowania szyfrowania w późniejszym terminie. Twierdzi, że Google szyfruje Twoje dane ze wszystkich swoich aplikacji, w tym Authenticator, gdy są „w trakcie przesyłania i spoczynku”.
„W tej chwili uważamy, że nasz obecny produkt zapewnia odpowiednią równowagę dla większości użytkowników i zapewnia znaczne korzyści w porównaniu z użytkowaniem offline” — kontynuuje Brand. Ponadto włączenie silniejszego szyfrowania, takiego jak E2E, może ponownie ujawnić możliwość zablokowania użytkownikom dostępu do ich kont.
Jednak jako poprzednio wspomniane i powtórzone przez Brand, synchronizacja konta Google Authenticator jest całkowicie opcjonalna. Jeśli użytkownicy czują się bezpieczniej, korzystając z aplikacji w stanie offline, mając kontrolę nad sposobem tworzenia kopii zapasowych swoich informacji, nadal jest to dla nich dostępne.