Aiemmin tällä viikolla Google päivitti Authenticator-sovelluksensa mahdollistaakseen 2FA-koodien varmuuskopioinnin ja synkronoinnin eri laitteissa Google-tilin avulla. Nyt Myskin tietoturvatutkijoiden tekemä tutkimus on havainnut, että pilveen synkronoidut arkaluontoiset kertakäyttöiset salasanat eivät ole päästä päähän-salattuja, joten ne saattavat altistua huonoille toimijoille.
Aiemmin Google-tilituen integroinnissa kaikki Google Authenticator-sovelluksen koodit tallennettiin laitteelle, mikä tarkoitti, että jos laite katoaa, myös kertakäyttöiset salasanat katosivat, mikä saattaa myös aiheuttaa tilin käyttöoikeuden menettämisen. Mutta näyttää siltä, että ottamalla käyttöön pilvipohjaisen synkronoinnin Google on avannut käyttäjät erilaiselle tietoturvariskille.
“Analysoimme verkkoliikenteen, kun sovellus synkronoi salaisuudet, ja kävi ilmi, että liikenne ei ole päästä päähän-salattua”, Mysk sanoi Twitter.”Tämä tarkoittaa, että Google näkee salaisuudet, todennäköisesti jopa silloin, kun ne on tallennettu palvelimilleen. Ei ole mahdollista lisätä salalausetta salaisuuksien suojaamiseksi, jotta ne olisivat vain käyttäjän saatavilla.”
“Secrets“on termi, jota käytetään viittaamaan yksityisiin tietoihin, jotka toimivat avaimina avaa suojattuja resursseja tai arkaluonteisia tietoja; tässä tapauksessa kertakäyttöiset salasanat.
Mysk sanoi, että sen testit havaitsivat, että salaamaton liikenne sisältää”siemenen”, jota käytetään 2FA-koodien luomiseen. Tutkijoiden mukaan kuka tahansa, jolla on pääsy kyseiseen siemenyn, voi luoda omia koodeja samoille tileille ja murtautua niihin.
“Jos Googlen palvelimet vaarantuisivat, salaisuudet vuotaisivat”, Mysk kertoi Gizmodo. Koska kaksivaiheisen todennuksen määrittämiseen liittyvät QR-koodit sisältävät tilin tai palvelun nimen, hyökkääjä voi myös tunnistaa tilit.”Tämä on erityisen riskialtista, jos olet aktivisti ja käytät muita Twitter-tilejä nimettömänä”, lisäsivät tutkijat.
Mysk neuvoi myöhemmin käyttäjiä olemaan ottamatta käyttöön Google-tiliominaisuutta, joka synkronoi 2FA-koodit laitteiden ja pilven välillä..
Google on juuri päivittänyt 2FA Authenticator-sovelluksensa ja lisännyt kipeästi kaivatun ominaisuuden: mahdollisuuden synkronoida salaisuudet eri laitteiden välillä. TL;DR: Älä kytke sitä päälle. Uuden päivityksen avulla käyttäjät voivat kirjautua sisään Google-tilillään ja synkronoida 2FA-salaisuuksia iOS-ja Android-laitteidensa välillä.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26. huhtikuuta
/blockquote>
Googlen tiedottaja vastasi varoitukseen CNET se oli lisännyt synkronointiominaisuuden aikaisin mukavuussyistä, mutta päästä päähän-salaus on edelleen matkalla:End-to-Encryption (E2EE) on tehokas ominaisuus, joka tarjoaa lisäsuojauksia, mutta sen kustannuksella, että käyttäjät voivat jäädä pois omien tietojensa käytöstä ilman palautusta. Varmistaaksemme, että tarjoamme käyttäjille täyden valikoiman vaihtoehtoja, olemme myös alkaneet ottaa valinnaisen E2EE:n käyttöön joissakin tuotteissamme, ja aiomme tarjota E2EE:n Google Authenticatorille tulevaisuudessa.”
Kunes näin tapahtuu, on olemassa vaihtoehtoisia palveluita todennuskoodien synkronoimiseen eri laitteiden välillä, kuten Applen oma 2FA-koodigeneraattori ja kolmannen osapuolen sovellukset, kuten Authy..
