Googlelta kesti 13 vuotta lisätä uusi ominaisuus Google Authenticatoriin. 2FA-synkronointiominaisuuden ansiosta käyttäjät voivat nyt varmuuskopioida 2FA-koodisekvenssinsä pilveen ja palauttaa ne uuteen laitteeseen. Uskomme, että kukaan ei kiistä tämän uuden ominaisuuden mukavuutta, mutta on olemassa joitakin turvallisuusongelmia.
Aiheuttaako Googlen 2FA-synkronointi tietosuojasi vaarassa?
Ei kauan sitten, jotkut tutkijat Sophos’s Naked Securitysta ja iOS-kehittäjät Myskissä jakoivat ajatuksensa tästä. He sanoivat, että käyttäjän 2FA-tiedot oli”salaamaton Googlen HTTPS-verkkopaketeissa”. Vaikka 2FA-tietosi pidetään salassa, kun lähetät ne, on ongelma, kun ne toimitetaan ilman salausta määränpäähänsä. Tämä antaa Googlelle ja muille pääsyn tietoihisi. Tämä koskee kaikkia henkilöitä, joilla on etsintälupa, mikä voi vaarantaa käyttäjän tiedot.
Lisäksi käyttäjät eivät voi salata latausta pääsykoodilla ennen kuin se lähtee laitteeltaan. Joten huonot toimijat voivat siepata ja käyttää tietoja ilman vaivaa. Näiden tietoturvaongelmien vuoksi Mysk suosittelee sovelluksen käyttöä ilman uutta synkronointitoimintoa toistaiseksi.
Olemme varmoja, että Google ratkaisee tämän ongelman tulevaisuudessa. Mutta tällä hetkellä lähetyssalauksen puute on merkittävä tietoturvavirhe, ja Googlen pitäisi työskennellä sen kanssa nyt. Suosittelemme siis lukijoitamme käyttämään uutta synkronointitoimintoa varoen ja tutkimaan vaihtoehtoisia 2FA-menetelmiä, kunnes tietoturvaongelma on ratkaistu.
Viikon Gizchina-uutiset
Loppujen lopuksi uusi Google Authenticator-ominaisuus on askel kohti 2FA:n helpottamista käyttäjille. Mutta tähän ominaisuuteen liittyviä turvallisuusongelmia ei pidä unohtaa. Käyttäjinä meidän on oltava valppaita tietojemme turvallisuuden suhteen ja ryhdyttävä tarvittaviin toimiin niiden suojaamiseksi.
Yleensä käyttäjien yksityisyys on yksi tämän päivän suurimmista ongelmista. Et voi nimetä yhtä yritystä, joka ei ole joutunut käsittelemään sitä. Joten Google ei ole viimeinen eikä ainoa yritys, joka kohtaa nämä ongelmat.
Google on juuri päivittänyt 2FA Authenticator-sovelluksensa ja lisännyt kipeästi kaivatun ominaisuuden: mahdollisuuden synkronoida salaisuuksia eri laitteiden välillä.
TL;DR: Älä kytke sitä päälle.
Uuden päivityksen avulla käyttäjät voivat kirjautua sisään Google-tilillään ja synkronoida 2FA-salaisuuksia iOS-ja Android-laitteidensa välillä.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 26. huhtikuuta 2023
Lähde/VIA:
