Кілька днів тому компанія Google додала хмарну синхронізацію акаунтів у сервіс Google Authenticator. Тоді повідомлялося, що хмарна синхронізація може знизити загальний рівень безпеки, якщо зловмисник зможе зламати обліковий запис користувача. Але виявилось, що це не єдина загроза безпеці.
У Mysk провели дослідження безпеки та виявили, що конфіденційні одноразові коди доступу, що синхронізуються з хмарою, не зашифровані наскрізним шифруванням, це робить їх потенційно вразливими для зловмисників.
«Ми проаналізували мережевий трафік, коли застосунок синхронізує секрети, і виявилося, що трафік не зашифрований наскрізним чином», – заявляє Mysk. «Це означає, що Google може бачити секрети, ймовірно, навіть коли вони зберігаються на їх серверах. Немає можливості додати парольну фразу для захисту секретів, щоб зробити їх доступними лише користувачеві».
Секрети – це термін, який використовується для позначення приватних частин інформації, які діють як ключі для розблокування захищених ресурсів чи конфіденційної інформації; у цьому разі одноразові паролі.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don’t turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
На підставі власних тестів Mysk стверджує, що незашифрований трафік містить «початкове число», яке використовується для генерації кодів 2FA. За словами дослідників, будь-хто, хто має доступ до цих даних, може генерувати свої власні коди для тих самих облікових записів і зламати їх. Зазначається, що якщо сервери Google будуть скомпрометовані, відбудеться виток секретів. Оскільки QR-коди, пов’язані з налаштуванням двофакторної аутентифікації, містять ім’я облікового запису або сервісу, зловмисник також може ідентифікувати облікові записи. У зв’язку з цим Mysk радить користувачам не активувати хмарну синхронізацію кодів 2FA.
(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.
— Christiaan Brand (@christiaanbrand) April 26, 2023
Менеджер з продуктів Google Крістіан Бренд прокоментував цю заяву та повідомив, що компанія «планує впровадити E2EE» у майбутньому. Однак він не уточнив навіть приблизних термінів, коли це може статися.