Новини Софт 28.04.2023 о 18:28 comment views icon

Google Authenticator не використовує наскрізне шифрування під час хмарної синхронізації. Компанія обіцяє додати його у майбутньому

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новин

Кілька днів тому компанія Google додала хмарну синхронізацію акаунтів у сервіс Google Authenticator. Тоді повідомлялося, що хмарна синхронізація може знизити загальний рівень безпеки, якщо зловмисник зможе зламати обліковий запис користувача. Але виявилось, що це не єдина загроза безпеці.

У Mysk провели дослідження безпеки та виявили, що конфіденційні одноразові коди доступу, що синхронізуються з хмарою, не зашифровані наскрізним шифруванням, це робить їх потенційно вразливими для зловмисників.

«Ми проаналізували мережевий трафік, коли застосунок синхронізує секрети, і виявилося, що трафік не зашифрований наскрізним чином», – заявляє Mysk. «Це означає, що Google може бачити секрети, ймовірно, навіть коли вони зберігаються на їх серверах. Немає можливості додати парольну фразу для захисту секретів, щоб зробити їх доступними лише користувачеві».

Секрети – це термін, який використовується для позначення приватних частин інформації, які діють як ключі для розблокування захищених ресурсів чи конфіденційної інформації; у цьому разі одноразові паролі.

Онлайн-курс "Нотації BPMN" від Laba.
Опануйте мову BPMN для візуалізації бізнес-процесів, щоб впорядкувати хаос у них.Після курсу ви точно знатимете, що саме обрати для розв’язання завдань вашого бізнесу.
Дізнатись більше

На підставі власних тестів Mysk стверджує, що незашифрований трафік містить «початкове число», яке використовується для генерації кодів 2FA. За словами дослідників, будь-хто, хто має доступ до цих даних, може генерувати свої власні коди для тих самих облікових записів і зламати їх. Зазначається, що якщо сервери Google будуть скомпрометовані, відбудеться виток секретів. Оскільки QR-коди, пов’язані з налаштуванням двофакторної аутентифікації, містять ім’я облікового запису або сервісу, зловмисник також може ідентифікувати облікові записи. У зв’язку з цим Mysk радить користувачам не активувати хмарну синхронізацію кодів 2FA.

Менеджер з продуктів Google Крістіан Бренд прокоментував цю заяву та повідомив, що компанія «планує впровадити E2EE» у майбутньому. Однак він не уточнив навіть приблизних термінів, коли це може статися.

Джерело: Macrumors, The Verge


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: