Eerder deze week heeft Google zijn Authenticator-app geüpdatet om de back-up en synchronisatie van 2FA-codes op verschillende apparaten mogelijk te maken met behulp van een Google-account. Nu heeft een onderzoek door beveiligingsonderzoekers van Mysk uitgewezen dat de gevoelige eenmalige toegangscodes die naar de cloud worden gesynchroniseerd niet end-to-end versleuteld zijn, waardoor ze mogelijk worden blootgesteld aan kwaadwillenden.
Prior Door de integratie van Google Account-ondersteuning werden alle codes in de Google Authenticator-app op het apparaat opgeslagen, wat betekende dat als het apparaat verloren ging, de eenmalige toegangscodes dat ook waren, waardoor mogelijk ook de accounttoegang verloren ging. Maar het lijkt erop dat Google, door cloudgebaseerde synchronisatie mogelijk te maken, gebruikers heeft opengesteld voor een ander soort beveiligingsrisico.
“We hebben het netwerkverkeer geanalyseerd wanneer de app de geheimen synchroniseert, en het blijkt dat het verkeer niet end-to-end versleuteld is”, aldus Mysk via Twitter.”Dit betekent dat Google de geheimen kan zien, waarschijnlijk zelfs terwijl ze op hun servers zijn opgeslagen. Er is geen optie om een wachtwoordzin toe te voegen om de geheimen te beschermen, om ze alleen toegankelijk te maken voor de gebruiker.”
“Secrets“is een term die wordt gebruikt om te verwijzen naar privégegevens die fungeren als sleutels tot ontgrendel beschermde bronnen of gevoelige informatie; in dit geval eenmalige toegangscodes.
Mysk zei dat zijn tests hebben aangetoond dat het niet-versleutelde verkeer een”seed”bevat die wordt gebruikt om de 2FA-codes te genereren. Volgens de onderzoekers kan iedereen met toegang tot die seed zijn eigen codes voor dezelfde accounts genereren en bij hen inbreken.
“Als Google-servers werden gecompromitteerd, zouden er geheimen lekken,”vertelde Mysk Gizmodo. Omdat de QR-codes die betrokken zijn bij het instellen van tweefactorauthenticatie de naam van het account of de service bevatten, kan de aanvaller de accounts ook identificeren.”Dit is vooral riskant als je een activist bent en andere Twitter-accounts anoniem beheert”, voegden de onderzoekers eraan toe.
Mysk adviseerde gebruikers vervolgens om de Google-accountfunctie die 2FA-codes tussen apparaten en de cloud synchroniseert, niet in te schakelen.
Google heeft zojuist zijn 2FA Authenticator-app geüpdatet en een broodnodige functie toegevoegd: de mogelijkheid om geheimen op verschillende apparaten te synchroniseren. TL;DR: Zet hem niet aan. Met de nieuwe update kunnen gebruikers inloggen met hun Google-account en 2FA-geheimen synchroniseren met hun iOS-en Android-apparaten.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 april 2023
In reactie op de waarschuwing vertelde een Google-woordvoerder aan CNET het had de synchronisatiefunctie vroeg toegevoegd voor het gemak, maar die end-to-end encryptie is nog onderweg:
End-to-End Encryption (E2EE) is een krachtige functie die extra bescherming biedt, maar ten koste gaat van het feit dat gebruikers hun eigen gegevens niet meer kunnen gebruiken zonder herstel. Om ervoor te zorgen dat we gebruikers een volledige set opties bieden, zijn we ook begonnen met de uitrol van optionele E2EE in sommige van onze producten, en we zijn van plan om in de toekomst E2EE voor Google Authenticator aan te bieden.”
Tot dat gebeurt, zijn er alternatieve services voor het synchroniseren van authenticatiecodes op verschillende apparaten, zoals Apple’s eigen 2FA-codegenerator en apps van derden zoals Authy.
