Несколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя. Но оказалось, что это не единственная угроза безопасности.
В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников.
«Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах. Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю».
Секреты — это термин, используемый для обозначения частных частей информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае одноразовые пароли.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don’t turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
На основании собственных тестов Mysk утверждает, что незашифрованный трафик содержит «начальное число», которое используется для генерации кодов 2FA. По словам исследователей, любой, у кого есть доступ к этим данным, может генерировать свои собственные коды для тех же учетных записей и взломать их. Отмечается, что если серверы Google будут скомпрометированы, произойдет утечка секретов. Поскольку QR-коды, связанные с настройкой двухфакторной аутентификации, содержат имя учетной записи или сервиса, злоумышленник также может идентифицировать учетные записи. В связи с этим Mysk советует пользователям не активировать облачную синхронизацию кодов 2FA.
(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.
— Christiaan Brand (@christiaanbrand) April 26, 2023
Менеджер по продуктам Google Кристиан Брэнд прокомментировал это заявление и сообщил, что компания «планирует внедрить E2EE» в будущем. Однако он не уточнил даже примерных сроков, когда это может произойти.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: