Awal minggu ini, Google mengemas kini apl Pengesahnya untuk mendayakan sandaran dan penyegerakan kod 2FA merentas peranti menggunakan Akaun Google. Kini, pemeriksaan oleh penyelidik keselamatan Mysk telah mendapati bahawa kod laluan sekali sahaja sensitif yang disegerakkan ke awan tidak disulitkan hujung ke hujung, menyebabkan mereka berpotensi terdedah kepada pelakon jahat.
Sebelumnya kepada penyepaduan sokongan Akaun Google, semua kod dalam apl Google Authenticator telah disimpan pada peranti, yang bermakna jika peranti itu hilang, begitu juga kod laluan sekali, yang berpotensi menyebabkan kehilangan akses akaun juga. Tetapi nampaknya dengan mendayakan penyegerakan berasaskan awan, Google telah membuka pengguna kepada risiko keselamatan yang berbeza.
“Kami menganalisis trafik rangkaian apabila apl menyegerakkan rahsia, dan ternyata trafik itu tidak disulitkan hujung ke hujung,”kata Mysk melalui Twitter.”Ini bermakna Google boleh melihat rahsia, mungkin walaupun semasa ia disimpan pada pelayan mereka. Tiada pilihan untuk menambah frasa laluan untuk melindungi rahsia, untuk menjadikannya hanya boleh diakses oleh pengguna.”
“Rahsia“ialah istilah yang digunakan untuk merujuk kepada maklumat peribadi yang bertindak sebagai kunci kepada membuka kunci sumber yang dilindungi atau maklumat sensitif; dalam kes ini, kod laluan sekali sahaja.
Mysk berkata bahawa ujiannya mendapati trafik tidak disulitkan mengandungi”benih”yang digunakan untuk menjana kod 2FA. Menurut penyelidik, sesiapa sahaja yang mempunyai akses kepada benih itu boleh menjana kod mereka sendiri untuk akaun yang sama dan menceroboh masuk ke akaun tersebut.
“Jika pelayan Google dikompromi, rahsia akan bocor,”kata Mysk Gizmodo. Memandangkan kod QR yang terlibat dengan menyediakan pengesahan dua faktor mengandungi nama akaun atau perkhidmatan, penyerang juga boleh mengenal pasti akaun tersebut.”Ini amat berisiko jika anda seorang aktivis dan menjalankan akaun Twitter lain tanpa nama,”tambah penyelidik.
Mysk kemudiannya menasihati pengguna untuk tidak mendayakan ciri akaun Google yang menyegerakkan kod 2FA merentas peranti dan awan..
Google baru sahaja mengemas kini apl Pengesah 2FA dan menambah ciri yang sangat diperlukan: keupayaan untuk menyegerakkan rahsia merentas peranti. TL;DR: Jangan hidupkan. Kemas kini baharu membolehkan pengguna melog masuk dengan Akaun Google mereka dan menyegerakkan rahsia 2FA merentas peranti iOS dan Android mereka.… pic.twitter.com/a8hheupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 April 2023
/blockquote>
Menjawab amaran itu, jurucakap Google memberitahu CNET ia telah menambahkan ciri penyegerakan awal demi kemudahan, tetapi penyulitan hujung ke hujung itu masih dalam proses:Penyulitan Hujung-ke-Hujung (E2EE) ialah ciri berkuasa yang menyediakan perlindungan tambahan, tetapi dengan kos membolehkan pengguna terkunci daripada data mereka sendiri tanpa pemulihan. Untuk memastikan kami menawarkan satu set penuh pilihan untuk pengguna, kami juga telah mula melancarkan E2EE pilihan dalam beberapa produk kami dan kami merancang untuk menawarkan E2EE untuk Google Authenticator pada masa hadapan.”
Sehingga itu berlaku, terdapat perkhidmatan alternatif untuk menyegerakkan kod pengesahan merentas peranti, seperti penjana kod 2FA Apple sendiri dan apl pihak ketiga seperti Authy.