今週初め、Google は Authenticator アプリを更新し、Google アカウントを使用して複数のデバイス間で 2FA コードをバックアップおよび同期できるようにしました。 Mysk のセキュリティ研究者による調査により、クラウドに同期されている機密性の高いワンタイム パスコードがエンドツーエンドで暗号化されておらず、悪意のある人物にさらされる可能性があることが判明しました。
以前Google アカウント サポートの統合により、Google Authenticator アプリのすべてのコードがデバイスに保存されました。つまり、デバイスを紛失した場合、ワンタイム パスコードも失われ、アカウントへのアクセスも失われる可能性がありました。しかし、クラウドベースの同期を有効にすることで、Google はユーザーを別の種類のセキュリティ リスクにさらしているようです。
「アプリがシークレットを同期するときのネットワーク トラフィックを分析したところ、トラフィックがエンドツーエンドで暗号化されていないことが判明しました」と Mysk は ツイッター。 「これは、Google がサーバーに保存されている間であっても、シークレットを見ることができることを意味します。シークレットを保護するためにパスフレーズを追加して、ユーザーのみがアクセスできるようにするオプションはありません。」
「Secrets」は、鍵として機能する個人情報を指す用語です。保護されたリソースまたは機密情報のロックを解除します。
Mysk によると、暗号化されていないトラフィックには、2FA コードの生成に使用される「シード」が含まれていることがテストで判明したという。研究者によると、そのシードにアクセスできる人は誰でも、同じアカウントに対して独自のコードを生成し、それらに侵入することができます.
「Google サーバーが侵害された場合、秘密が漏洩するだろう」と Mysk は Gizmodo. 2 要素認証の設定に関連する QR コードにはアカウントまたはサービスの名前が含まれているため、攻撃者はアカウントを特定することもできます。 「これは、あなたが活動家であり、他の Twitter アカウントを匿名で実行している場合に特に危険です」と研究者は付け加えました。.
Google は 2FA Authenticator アプリを更新し、切望されていた機能を追加しました: デバイス間でシークレットを同期する機能です。 TL;DR: 電源を入れないでください。新しいアップデートにより、ユーザーは Google アカウントでサインインし、iOS および Android デバイス間で 2FA シークレットを同期できます。… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 2023 年 4 月 26 日
警告を受けて、Google の広報担当者は CNET は便宜上、同期機能を早期に追加しましたが、エンドツーエンドの暗号化はまだ進行中です:
エンド ツー エンド暗号化 (E2EE) は、追加の保護を提供する強力な機能ですが、ユーザーが自分のデータを復元せずにロックアウトできるという代償を払っています。ユーザーに完全なオプション セットを確実に提供するために、一部の製品ではオプションの E2EE の展開も開始しており、将来的には Google Authenticator に E2EE を提供する予定です。」
それまでは、Apple 独自の 2FA コード ジェネレーターや Authy などのサードパーティ アプリなど、デバイス間で認証コードを同期するための代替サービスがあります。.
