Synchronizacja w Google Authenticator nie ma jeszcze szyfrowania E2E, więc korzystasz z niej na własne ryzyko

Kilka dni temu Google uruchomił bardzo pożądaną funkcję w swojej aplikacji Authenticator w postaci funkcji synchronizacji. Oznacza to, że użytkownicy Google Authenticator mogą przenosić „tajemnice” na wiele urządzeń, więc nawet jeśli stracisz podstawowe urządzenie, na którym zainstalowano aplikację, możesz po prostu przywrócić je na urządzeniu dodatkowym i nadal korzystać z uwierzytelniania dwuskładnikowego (2FA). Jednak firma zajmująca się bezpieczeństwem ujawniła teraz prawdopodobnie dużą wadę w projekcie tej funkcji synchronizacji, która może zniechęcić niektórych użytkowników do dalszego korzystania z niej.

Analitycy bezpieczeństwa z Mysk poinformowali, że synchronizacja tajemnic Google Authenticator między urządzeniami nie jest szyfrowana metodą end-to-end (E2E). Dla nieświadomych tajemnica służy do generowania kodów 2FA, które są wykorzystywane przez użytkowników do logowania się na różne konta. Ponieważ te klucze tajne nie mają szyfrowania E2E w implementacji Google, osoba atakująca, która naruszy Twoją sieć, konto Google lub powiązaną infrastrukturę, będzie mogła łatwo uzyskać dostęp do tych kluczy i przejąć kontrolę nad kodami 2FA.

Mysk zauważył ponadto, że nawet Google może nadużywać twoich sekretów do spersonalizowanych reklam:

[…] Kody QR 2FA zazwyczaj zawierają inne informacje, takie jak nazwa konta i nazwa usługi (np. Twitter, Amazon itp.). Ponieważ Google widzi wszystkie te dane, wie, z jakich usług online korzystasz, i może potencjalnie wykorzystać te informacje do spersonalizowanych reklam.

Co zaskakujące, eksport danych Google nie obejmuje tajemnic 2FA, które są przechowywane na koncie Google użytkownika. Pobraliśmy wszystkie dane powiązane z używanym przez nas kontem Google i nie znaleźliśmy żadnych śladów tajemnic 2FA.

Podsumowując: chociaż synchronizowanie tajemnic 2FA na różnych urządzeniach jest wygodne, odbywa się kosztem Twojej prywatności. Na szczęście Google Authenticator nadal oferuje opcję korzystania z aplikacji bez logowania lub synchronizowania tajemnic. Na razie zalecamy korzystanie z aplikacji bez nowej funkcji synchronizacji.

Google przyznał, że brakuje szyfrowania E2E w obecnym wdrożeniu funkcji synchronizacji w Authenticatorze. Mówi, że wynika to z chęci dodania bardzo pożądanej funkcjonalności, która zwiększa wygodę wcześniej i późniejszego wdrożenia szyfrowania E2E, co jest ironią losu, ponieważ minęło już kilka lat, odkąd klienci prosili o synchronizację.

W oświadczeniu dla CNET Google zauważył, że:

Szyfrowanie typu end-to-end (E2EE) to zaawansowana funkcja zapewniająca dodatkową ochronę, ale kosztem umożliwienia użytkownikom zablokowania dostępu do własnych danych bez ich odzyskiwania. Aby mieć pewność, że oferujemy użytkownikom pełny zestaw opcji, w niektórych naszych produktach zaczęliśmy wprowadzać opcjonalną technologię E2EE, a w przyszłości planujemy udostępnić ją dla Google Authenticator.

W tej chwili Mysk doradził klientom Google Authenticator, aby nie korzystali z funkcji synchronizacji, dopóki nie zostanie dodane szyfrowanie E2E. Jednak Google również nie podał harmonogramu, więc nie wiadomo, kiedy nadejdzie.

Źródło: Mysk (Twitter)