Новости Софт 28.04.2023 в 18:28 comment views icon

Google Authenticator не использует сквозное шифрование при облачной синхронизации. Компания обещает добавить его в будущем

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новостей

Несколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя. Но оказалось, что это не единственная угроза безопасности.

В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников.

«Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах. Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю».

Секреты — это термин, используемый для обозначения частных частей информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае одноразовые пароли.

Курс English For IT: Communication від Enlgish4IT.
Почни легко працювати та спілкуватися з мультикультурними командами та міжнародними клієнтами. Отримайте знижку 10% за промокодом ITCENG.
Інформація про курс

На основании собственных тестов Mysk утверждает, что незашифрованный трафик содержит «начальное число», которое используется для генерации кодов 2FA. По словам исследователей, любой, у кого есть доступ к этим данным, может генерировать свои собственные коды для тех же учетных записей и взломать их. Отмечается, что если серверы Google будут скомпрометированы, произойдет утечка секретов. Поскольку QR-коды, связанные с настройкой двухфакторной аутентификации, содержат имя учетной записи или сервиса, злоумышленник также может идентифицировать учетные записи. В связи с этим Mysk советует пользователям не активировать облачную синхронизацию кодов 2FA.

Менеджер по продуктам Google Кристиан Брэнд прокомментировал это заявление и сообщил, что компания «планирует внедрить E2EE» в будущем. Однако он не уточнил даже примерных сроков, когда это может произойти.

Источник: Macrumors, The Verge

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: