Новости Софт 28.04.2023 в 18:28 comment views icon

Google Authenticator не использует сквозное шифрование при облачной синхронизации. Компания обещает добавить его в будущем

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новостей

Несколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя. Но оказалось, что это не единственная угроза безопасности.

В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников.

«Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах. Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю».

Секреты — это термин, используемый для обозначения частных частей информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае одноразовые пароли.

Онлайн-курс "Директор з продажу" від Laba.
Як стратегічно впливати на дохід компанії, мотивувати сейлзів перевиконувати KPI та впроваджувати аналітику — навчить комерційний директор Laba з 12-річним досвідом у продажах.
Приєднатись до курсу

На основании собственных тестов Mysk утверждает, что незашифрованный трафик содержит «начальное число», которое используется для генерации кодов 2FA. По словам исследователей, любой, у кого есть доступ к этим данным, может генерировать свои собственные коды для тех же учетных записей и взломать их. Отмечается, что если серверы Google будут скомпрометированы, произойдет утечка секретов. Поскольку QR-коды, связанные с настройкой двухфакторной аутентификации, содержат имя учетной записи или сервиса, злоумышленник также может идентифицировать учетные записи. В связи с этим Mysk советует пользователям не активировать облачную синхронизацию кодов 2FA.

Менеджер по продуктам Google Кристиан Брэнд прокомментировал это заявление и сообщил, что компания «планирует внедрить E2EE» в будущем. Однако он не уточнил даже примерных сроков, когда это может произойти.

Источник: Macrumors, The Verge


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: