O Google acaba de anunciar em seu blog de segurança que o aplicativo Authenticator da empresa está recebendo não apenas um novo design com um logotipo novo e modernizado, mas também, e finalmente, sincronização de conta para seus códigos! O aplicativo nunca costumava sincronizar seus códigos de autenticação na nuvem, levando a muita frustração e aborrecimento não apenas ao configurá-lo, mas se você trocar de telefone ou atualizar, o aplicativo precisa ser configurado novamente, levando muitas pessoas a serem bloqueadas de seus contas que exigem esses códigos.
“Um dos principais comentários que ouvimos dos usuários ao longo dos anos foi a complexidade em lidar com dispositivos perdidos ou roubados que tinham o Google Authenticator instalado. Como os códigos únicos no Authenticator eram armazenados apenas em um único dispositivo, a perda desse dispositivo significava que os usuários perdiam a capacidade de fazer login em qualquer serviço no qual configuraram 2FA usando o Authenticator.”
Isso é ótimo e tudo, mas, curiosamente, esses códigos, embora sincronizados com sua Conta do Google para facilitar a configuração e recuperação em novos dispositivos, não são criptografados de ponta a ponta! Este é um grande erro do Google, e os usuários estão começando a perceber que esta solução é incompleta.
Por não ter criptografia E2E, eles podem ser expostos ou interceptados por terceiros mal-intencionados. De acordo com Mysk no Twitter, que disse Gizmodo sobre a falta de criptografia, eles “analisaram o tráfego de rede quando o aplicativo sincroniza os segredos e descobriu o tráfego não é criptografado de ponta a ponta”, e declarou: “Isso significa que o Google pode ver os segredos, provavelmente até mesmo enquanto eles estão armazenados em seus servidores. Não há opção para adicionar uma frase secreta para proteger os segredos, para torná-los acessíveis apenas pelo usuário.”.
Essencialmente, ao fazer backup de seus códigos secretos, o Google pode até visualizá-los brutos em seus servidores, graças a uma “semente” exposta usada para gerar seus códigos. Ao obter essa semente, qualquer pessoa pode criar seus próprios códigos para sua conta e usá-los para obter acesso. Claro, isso significa que se o Google fosse invadido e alguém obtivesse os dados do servidor onde essas suas informações estavam armazenadas, eles teriam acesso direto a todas as suas coisas.
O Google respondeu rapidamente a esta situação via CNET afirmando que ainda está planejando lançar a criptografia E2E para seu aplicativo Authenticator a tempo e que adicionou a sincronização de contas para”conveniência”, embora conflite com a própria ideia de manter os usuários afastados de riscos e preocupações de segurança.
(1/4) Estamos sempre focados na segurança de @ Usuários do Google, e as atualizações mais recentes do Google Authenticator não foram exceção. Nosso objetivo é oferecer recursos que protejam os usuários, MAS que sejam úteis e convenientes.
— Christiaan Brand (@christiaanbrand) 26 de abril de 2023
Você ainda pode usar o aplicativo sem sincronizar seus códigos secretos, o que significa que, para qualquer usuário que veja isso (há muitos que sincronizarão involuntariamente suas contas de qualquer forma), eu recomendaria que você o usasse da maneira que sempre fez-sem conexão com os servidores do Google. Deixe-me saber nos comentários se você usa o Google Authenticator ou se mudou para outras soluções como Authy.
