Что тебе нужно знать
- Исследователи из Мыска обнаружили, что Google Authenticator не выполняет сквозное шифрование кодов 2FA пользователей.
- Google может видеть «секреты», необходимые для кодов 2FA, что делает пользователей уязвимыми для утечки данных.
- В ответ Кристиан Брэнд из Google заявил, что в будущем планируется внедрить E2EE в Google Authenticator.
После долгожданного обновления Google Authenticator компания-разработчик программного обеспечения Mysk вынес предупреждение чтобы пользователи не включали эту функцию из-за опасений, что эта функция небезопасна.
Обновление, о котором идет речь недавно представленный возможность синхронизации одноразовых кодов, которая позволит пользователям хранить их в своих учетных записях Google. Идея заключалась в том, чтобы помочь предотвратить ситуацию, когда пользователь заблокирован для всех своих учетных записей, поскольку эти одноразовые коды ранее хранились на устройстве, на котором было установлено приложение.
Мыск обнаружил доказательства того, что пользователям, заинтересованным в использовании этой функции, может потребоваться принять во внимание, что сетевой трафик, генерируемый приложением Authenticator, не зашифрован сквозным шифрованием. Человек со злым умыслом может украсть «секрет» или «начальное число», которое используется для создания вашего QR-кода 2FA. При этом ваши усилия по созданию более сильного защитного барьера будут спорными.
Google только что обновил свое приложение 2FA Authenticator и добавил столь необходимую функцию: возможность синхронизации секретов между устройствами. тл; ДР: Не включай. Новое обновление позволяет пользователям входить в свою учетную запись Google и синхронизировать секреты 2FA на своих устройствах iOS и Android.… pic.twitter.com/a8hhelupZR26 апреля 2023 г.
Узнать больше
Кроме того, Mysk упоминает, что QR-коды 2FA могут содержать другую информацию о вас, такую как имя вашей учетной записи и название службы, для которой предназначен код. Предполагается, что Google может использовать эту информацию, чтобы бомбардировать вас персонализированной рекламой в своих сервисах, но это может представлять опасность для пользователей. Мыск заявляет, что если Google когда-либо столкнется с утечкой данных, ваша информация полетит прямо к ним.
В ответ Кристиан Брэнд, менеджер по продуктам Google, объяснил отсутствие E2EE в Authenticator. Твитнуть в четверг. Хотя приложение не предлагает защиту безопасности, которую приветствовали бы пользователи, в будущем планируется предложить шифрование. Он заявляет, что Google шифрует ваши данные из всех своих приложений, включая Authenticator, когда они «в пути и в состоянии покоя».
«Прямо сейчас мы считаем, что наш текущий продукт обеспечивает правильный баланс для большинства пользователей и дает значительные преимущества по сравнению с использованием в автономном режиме», — продолжает Брэнд. Кроме того, включение более сильного шифрования, такого как E2E, может вновь выявить возможность блокировки учетных записей пользователей.
Однако, как упомянутый ранее и повторил Бренд, синхронизация учетной записи Google Authenticator совершенно необязательна. Если пользователи чувствуют себя в большей безопасности, используя приложение в автономном режиме и имея контроль над резервным копированием своей информации, оно по-прежнему доступно для них.