Vad du behöver veta
- Forskare från Mysk fann att Google Authenticator inte end-to-end krypterar användarnas 2FA-koder.
- De "hemligheter" som behövs för 2FA-koderna kan ses av Google, vilket gör användarna sårbara för dataintrång.
- Christiaan Brand från Google svarade genom att säga att det finns planer på att ta E2EE till Google Authenticator i framtiden.
Efter Google Authenticators efterlängtade uppdatering, mjukvaruföretaget Mysk utfärdat en varning för användare att inte aktivera funktionen på grund av farhågor om att funktionen inte är säker.
Uppdateringen i fråga nyligen infört ett synkroniseringsalternativ för engångskoder, vilket skulle tillåta användare att lagra dem i sina Google-konton. Tanken var att hjälpa till att förhindra en situation där en användare låses ute från alla sina konton eftersom dessa engångskoder tidigare lagrades på enheten som appen installerades på.
Mysk hittade bevis för att användare som är intresserade av att använda funktionen kan behöva ta hänsyn till att nätverkstrafiken som genereras av Authenticator-appen inte är krypterad från ände till ände. En person med uppsåt kan stjäla "hemligheten" eller "fröet" som används för att generera din 2FA QR-kod. Med det skulle dina ansträngningar att skapa en starkare säkerhetsbarriär vara omtvistade.
Google har precis uppdaterat sin 2FA Authenticator-app och lagt till en välbehövlig funktion: möjligheten att synkronisera hemligheter mellan enheter. TL; DR: Slå inte på den. Den nya uppdateringen tillåter användare att logga in med sitt Google-konto och synkronisera 2FA-hemligheter över sina iOS- och Android-enheter.… pic.twitter.com/a8hhelupZR26 april 2023
Se mer
Dessutom nämner Mysk att 2FA QR-koder har möjlighet att innehålla annan information om dig, såsom ditt kontonamn och namnet på tjänsten koden är till för. Spekulationer tyder på att Google skulle kunna använda denna information för att bombardera dig med personliga annonser i hela sina tjänster, men det kan innebära fara för användarna. Mysk säger att om Google någonsin skulle drabbas av ett dataintrång, skulle din information flyga rakt mot dem.
Som svar förklarade Christiaan Brand, produktchef på Google, Authenticators brist på E2EE i en Tweet på torsdag. Även om appen inte erbjuder det säkerhetsskydd som användare skulle välkomna, finns det planer på att erbjuda kryptering senare. Han uppger att Google krypterar din data från alla sina appar, inklusive Authenticator, när den är "under transport och vila".
"Just nu tror vi att vår nuvarande produkt har rätt balans för de flesta användare och ger betydande fördelar jämfört med offlineanvändning", fortsätter Brand. Dessutom kan införandet av starkare kryptering som E2E återuppstå möjligheten för användare att låsas ute från sina konton.
Men som tidigare nämnt och upprepat av varumärket är Google Authenticators kontosynkronisering helt valfri. Om användare känner sig säkrare när de använder appen offline, med kontroll över hur de säkerhetskopierar sin information, är det fortfarande tillgängligt för dem.