Čo potrebuješ vedieť
- Výskumníci z Mysk zistili, že Google Authenticator nešifruje 2FA kódy používateľov.
- „Tajomstvá“ potrebné pre kódy 2FA môže spoločnosť Google vidieť, čím sa používatelia stanú zraniteľnými voči narušeniu údajov.
- Christiaan Brand of Google reagoval vyhlásením, že v budúcnosti sa plánuje priniesť E2EE do aplikácie Google Authenticator.
Po dlho očakávanej aktualizácii aplikácie Google Authenticator softvérová spoločnosť Mysk vydal varovanie pre používateľov, aby túto funkciu nepovolili z dôvodu obáv, že funkcia nie je bezpečná.
Predmetná aktualizácia nedávno predstavený možnosť synchronizácie pre jednorazové kódy, ktorá by používateľom umožnila uložiť ich do svojich účtov Google. Myšlienkou bolo pomôcť zabrániť situácii, keď je používateľ zablokovaný zo všetkých svojich účtov, pretože tieto jednorazové kódy boli predtým uložené v zariadení, na ktorom bola aplikácia nainštalovaná.
Mysk našiel dôkazy, že používatelia, ktorí majú záujem o používanie tejto funkcie, možno budú musieť vziať do úvahy, že sieťová prevádzka generovaná aplikáciou Authenticator nie je šifrovaná end-to-end. Osoba so zlým úmyslom by mohla ukradnúť „tajomstvo“ alebo „semeno“, ktoré sa používa na generovanie vášho 2FA QR kódu. S tým by vaše úsilie o vytvorenie silnejšej bezpečnostnej bariéry bolo sporné.
Google práve aktualizoval svoju aplikáciu 2FA Authenticator a pridal veľmi potrebnú funkciu: schopnosť synchronizovať tajomstvá medzi zariadeniami. TL; DR: Nezapínajte to. Nová aktualizácia umožňuje používateľom prihlásiť sa pomocou svojho účtu Google a synchronizovať tajomstvá 2FA na zariadeniach so systémom iOS a Android.… pic.twitter.com/a8hhelupZR26. apríla 2023
Pozrieť viac
Okrem toho Mysk uvádza, že 2FA QR kódy majú schopnosť obsahovať ďalšie informácie o vás, ako je názov vášho účtu a názov služby, pre ktorú je kód určený. Špekulácie naznačujú, že Google by mohol použiť tieto informácie na to, aby vás bombardoval personalizovanými reklamami vo svojich službách, čo by však mohlo znamenať nebezpečenstvo pre používateľov. Mysk uvádza, že ak by spoločnosť Google niekedy utrpela porušenie ochrany údajov, vaše informácie by leteli priamo k nim.
V reakcii na to Christiaan Brand, produktový manažér spoločnosti Google, vysvetlil nedostatok E2EE v aplikácii Authenticator Tweetujte vo štvrtok. Aj keď aplikácia neponúka ochranu zabezpečenia, ktorú by používatelia uvítali, neskôr sa plánuje ponúknuť šifrovanie. Uvádza, že Google šifruje vaše údaje zo všetkých svojich aplikácií vrátane aplikácie Authenticator, keď sú „v prenose a v pokoji“.
„Práve teraz veríme, že náš súčasný produkt dosahuje správnu rovnováhu pre väčšinu používateľov a poskytuje významné výhody v porovnaní s offline používaním,“ pokračuje Brand. Okrem toho by zahrnutie silnejšieho šifrovania, ako je E2E, mohlo obnoviť možnosť, že používatelia zablokujú svoje účty.
Avšak, ako vyššie uvedené a Brand zopakoval, že synchronizácia účtu Google Authenticator je úplne voliteľná. Ak sa používatelia cítia bezpečnejšie pri používaní aplikácie v režime offline, s kontrolou nad tým, ako zálohujú svoje informácie, táto aplikácia je im stále k dispozícii.