Ką tu turi žinoti
- Tyrėjai iš Mysk nustatė, kad „Google Authenticator“ nešifruoja vartotojų 2FA kodų.
- „Google“ gali matyti „paslaptis“, reikalingas 2FA kodams, todėl vartotojai tampa pažeidžiami dėl duomenų pažeidimų.
- Christiaan Brand iš Google atsakė, kad ateityje planuojama įtraukti E2EE į Google Authenticator.
Po ilgai laukto Google Authenticator atnaujinimo programinės įrangos kompanija Mysk paskelbė įspėjimą kad vartotojai neįjungtų funkcijos, nes nerimauja, kad funkcija nėra saugi.
Aptariamas atnaujinimas neseniai pristatė vienkartinių kodų sinchronizavimo parinktį, kuri leistų vartotojams juos saugoti savo „Google“ paskyrose. Idėja buvo padėti užkirsti kelią situacijai, kai vartotojas užblokuotas prie visų savo paskyrų, nes tie vienkartiniai kodai anksčiau buvo saugomi įrenginyje, kuriame buvo įdiegta programa.
„Mysk“ rado įrodymų, kad naudotojams, norintiems naudoti šią funkciją, gali tekti atsižvelgti į tai, kad Autentifikatoriaus programos generuojamas tinklo srautas nėra visiškai užšifruotas. Asmuo, turintis piktų kėslų, gali pavogti „paslaptį“ arba „sėklą“, kuri naudojama jūsų 2FA QR kodui generuoti. Dėl to jūsų pastangos sukurti stipresnę saugumo barjerą būtų menkos.
„Google“ ką tik atnaujino savo 2FA autentifikavimo programą ir pridėjo labai reikalingą funkciją: galimybę sinchronizuoti paslaptis įvairiuose įrenginiuose.TL;DR: neįjunkite.Naujasis atnaujinimas leidžia naudotojams prisijungti naudojant „Google“ paskyrą ir sinchronizuoti 2FA paslapčių savo iOS ir Android įrenginiuose… pic.twitter.com/a8hhelupZR2023 m. balandžio 26 d
Be to, „Mysk“ nurodo, kad 2FA QR koduose gali būti kitos informacijos apie jus, pvz., paskyros pavadinimą ir paslaugos, kuriai kodas skirtas, pavadinimą. Spėlionės rodo, kad „Google“ galėtų panaudoti šią informaciją, kad bombarduotų jus suasmenintais skelbimais visose savo paslaugose, tačiau tai gali kelti pavojų vartotojams. Mysk teigia, kad jei „Google“ kada nors patirtų duomenų pažeidimą, jūsų informacija būtų nukreipta tiesiai į juos.
Atsakydamas Christiaan Brand, „Google“ produktų vadovas, paaiškino, kad „Authenticator“ trūksta E2EE. Tviteryje ketvirtadienį. Nors programėlė nesiūlo saugumo apsaugos, kurios vartotojai būtų sveikintini, vėliau planuojama pasiūlyti šifravimą. Jis teigia, kad „Google“ užšifruoja jūsų duomenis iš visų savo programų, įskaitant Autentifikatorių, kai jie „vežami ir neveikia“.
„Šiuo metu manome, kad mūsų dabartinis produktas pasiekia tinkamą pusiausvyrą daugumai vartotojų ir suteikia daug pranašumų, palyginti su naudojimu neprisijungus“, – tęsia Brand. Be to, įtraukus stipresnį šifravimą, pvz., E2E, gali iš naujo atsirasti galimybė, kad vartotojai negalės patekti į savo paskyras.
Tačiau, kaip anksčiau minėjo ir pakartojo Brandas, „Google“ autentifikavimo priemonės paskyros sinchronizavimas yra visiškai neprivalomas. Jei naudotojai jaučiasi saugesni naudodami programą neprisijungę ir gali valdyti, kaip kurti atsargines informacijos kopijas, tai jiems vis tiek pasiekiama.