Anfang dieser Woche hat Google seine Authenticator-App aktualisiert, um die Sicherung und Synchronisierung von 2FA-Codes auf allen Geräten mit einem Google-Konto zu ermöglichen. Jetzt hat eine Untersuchung der Mysk-Sicherheitsforscher ergeben, dass die sensiblen Einmal-Passcodes, die mit der Cloud synchronisiert werden, nicht durchgehend verschlüsselt sind, wodurch sie potenziell böswilligen Akteuren ausgesetzt sind.
Vorher Durch die Integration der Google-Kontounterstützung wurden alle Codes in der Google Authenticator-App auf dem Gerät gespeichert, was bedeutete, dass bei Verlust des Geräts auch die einmaligen Passcodes verloren gingen, was möglicherweise auch zum Verlust des Kontozugriffs führte. Aber es scheint, dass Google durch die Aktivierung der Cloud-basierten Synchronisierung die Benutzer einem Sicherheitsrisiko anderer Art ausgesetzt hat.
„Wir haben den Netzwerkverkehr analysiert, wenn die App die Geheimnisse synchronisiert, und es stellte sich heraus, dass der Datenverkehr nicht Ende-zu-Ende verschlüsselt ist“, sagte Mysk über Twitter.”Das bedeutet, dass Google die Geheimnisse sehen kann, wahrscheinlich sogar während sie auf ihren Servern gespeichert sind. Es gibt keine Option, eine Passphrase hinzuzufügen, um die Geheimnisse zu schützen, um sie nur dem Benutzer zugänglich zu machen.”
“Secrets“ist ein Begriff, der sich auf private Informationen bezieht, die als Schlüssel dienen entsperren Sie geschützte Ressourcen oder vertrauliche Informationen; in diesem Fall Einmal-Passcodes.
Mysk sagte, dass seine Tests ergeben haben, dass der unverschlüsselte Datenverkehr einen”Seed”enthält, der zum Generieren der 2FA-Codes verwendet wird. Laut den Forschern kann jeder, der Zugriff auf diesen Seed hat, seine eigenen Codes für dieselben Konten generieren und in sie eindringen.
“Wenn Google-Server kompromittiert würden, würden Geheimnisse durchsickern”, sagte Mysk gegenüber Gizmodo. Da die bei der Einrichtung der Zwei-Faktor-Authentifizierung beteiligten QR-Codes den Namen des Kontos oder Dienstes enthalten, kann der Angreifer auch die Konten identifizieren. „Dies ist besonders riskant, wenn Sie ein Aktivist sind und andere Twitter-Konten anonym führen“, fügten die Forscher hinzu.
Mysk riet den Benutzern anschließend, die Google-Kontofunktion nicht zu aktivieren, die 2FA-Codes zwischen Geräten und der Cloud synchronisiert.
Google hat gerade seine 2FA Authenticator-App aktualisiert und eine dringend benötigte Funktion hinzugefügt: die Möglichkeit, Geheimnisse zwischen Geräten zu synchronisieren. TL;DR: Nicht einschalten. Das neue Update ermöglicht es Benutzern, sich mit ihrem Google-Konto anzumelden und 2FA-Geheimnisse auf ihren iOS-und Android-Geräten zu synchronisieren.… pic.twitter.com/a8hhelupZR – Mysk 🇨🇦🇩🇪 (@mysk_co) 26. April 2023
Als Reaktion auf die Warnung sagte ein Google-Sprecher zu CNET hatte es der Einfachheit halber schon früh die Synchronisierungsfunktion hinzugefügt, aber diese Ende-zu-Ende-Verschlüsselung ist noch auf dem Weg:
End-to-End Encryption (E2EE) ist eine leistungsstarke Funktion, die zusätzlichen Schutz bietet, jedoch auf Kosten der Möglichkeit, dass Benutzer ohne Wiederherstellung von ihren eigenen Daten ausgeschlossen werden. Um sicherzustellen, dass wir unseren Benutzern alle Optionen anbieten, haben wir auch damit begonnen, optional E2EE in einigen unserer Produkte einzuführen, und wir planen, E2EE für Google Authenticator in Zukunft anzubieten.”
Bis dahin gibt es alternative Dienste zum Synchronisieren von Authentifizierungscodes zwischen Geräten, wie z. B. Apples eigener 2FA-Codegenerator und Apps von Drittanbietern wie Authy.
