Awal minggu ini, Google mengupdate aplikasi Authenticator untuk mengaktifkan pencadangan dan sinkronisasi kode 2FA di seluruh perangkat menggunakan Akun Google. Sekarang pemeriksaan oleh periset keamanan Mysk telah menemukan bahwa kode sandi satu kali yang sensitif yang disinkronkan ke cloud tidak dienkripsi secara end-to-end, sehingga berpotensi terekspos ke aktor jahat.
Sebelumnya untuk integrasi dukungan Akun Google, semua kode di aplikasi Google Authenticator disimpan di perangkat, yang berarti bahwa jika perangkat hilang, kode sandi satu kali juga akan hilang, berpotensi menyebabkan hilangnya akses akun juga. Namun tampaknya dengan mengaktifkan sinkronisasi berbasis cloud, Google telah membuka pengguna terhadap risiko keamanan dari jenis yang berbeda.
“Kami menganalisis lalu lintas jaringan saat aplikasi menyinkronkan rahasia, dan ternyata lalu lintas tersebut tidak terenkripsi ujung ke ujung,”kata Mysk melalui Twitter.”Ini berarti bahwa Google dapat melihat rahasia, bahkan mungkin saat disimpan di server mereka. Tidak ada opsi untuk menambahkan frasa sandi untuk melindungi rahasia, agar hanya dapat diakses oleh pengguna.”
“Rahasia“adalah istilah yang digunakan untuk merujuk pada potongan informasi pribadi yang bertindak sebagai kunci untuk membuka kunci sumber daya yang dilindungi atau informasi sensitif; dalam hal ini, kode sandi satu kali.
Mysk mengatakan bahwa pengujiannya menemukan lalu lintas yang tidak terenkripsi berisi”benih”yang digunakan untuk menghasilkan kode 2FA. Menurut para peneliti, siapa pun yang memiliki akses ke seed tersebut dapat membuat kode mereka sendiri untuk akun yang sama dan membobolnya.
“Jika server Google disusupi, rahasia akan bocor,”kata Mysk kepada Gizmodo. Karena kode QR yang terlibat dalam pengaturan autentikasi dua faktor berisi nama akun atau layanan, penyerang juga dapat mengidentifikasi akun tersebut.”Ini sangat berisiko jika Anda seorang aktivis dan menjalankan akun Twitter lain secara anonim,”tambah para peneliti.
Mysk kemudian menyarankan pengguna untuk tidak mengaktifkan fitur akun Google yang menyinkronkan kode 2FA di seluruh perangkat dan cloud..
Google baru saja memperbarui aplikasi 2FA Authenticator dan menambahkan fitur yang sangat dibutuhkan: kemampuan untuk menyinkronkan rahasia di seluruh perangkat. TL; DR: Jangan nyalakan. Pembaruan baru memungkinkan pengguna untuk masuk dengan Akun Google mereka dan menyinkronkan rahasia 2FA di perangkat iOS dan Android mereka.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 April 2023
Menanggapi peringatan tersebut, juru bicara Google memberi tahu CNET telah menambahkan fitur sinkronisasi lebih awal demi kenyamanan, tetapi enkripsi end-to-end itu masih dalam proses:
Enkripsi Ujung-ke-Ujung (E2EE) adalah fitur andal yang memberikan perlindungan ekstra, tetapi dengan biaya yang memungkinkan pengguna terkunci dari data mereka sendiri tanpa pemulihan. Untuk memastikan bahwa kami menawarkan serangkaian opsi lengkap bagi pengguna, kami juga telah mulai meluncurkan E2EE opsional di beberapa produk kami, dan kami berencana menawarkan E2EE untuk Google Authenticator di masa mendatang.”
Hingga itu terjadi, ada layanan alternatif untuk menyinkronkan kode autentikasi di seluruh perangkat, seperti pembuat kode 2FA milik Apple dan aplikasi pihak ketiga seperti Authy.