Na początku tego tygodnia firma Google zaktualizowała swoją aplikację Authenticator, aby umożliwić tworzenie kopii zapasowych i synchronizację kodów 2FA na urządzeniach korzystających z konta Google. Teraz badanie przeprowadzone przez analityków bezpieczeństwa Mysk wykazało, że wrażliwe jednorazowe kody dostępu synchronizowane z chmurą nie są szyfrowane od początku do końca, co naraża je na potencjalne ataki hakerów.
Prior do integracji obsługi konta Google wszystkie kody w aplikacji Google Authenticator były przechowywane na urządzeniu, co oznaczało, że w przypadku utraty urządzenia, podobnie jak jednorazowe kody dostępu, potencjalnie powodujące również utratę dostępu do konta. Wygląda jednak na to, że umożliwiając synchronizację w chmurze, Google naraził użytkowników na zagrożenia bezpieczeństwa innego rodzaju.
„Przeanalizowaliśmy ruch sieciowy, gdy aplikacja synchronizuje sekrety, i okazało się, że ruch nie jest szyfrowany od początku do końca” — powiedział Mysk za pośrednictwem Twitter. „Oznacza to, że Google może zobaczyć tajemnice, prawdopodobnie nawet wtedy, gdy są one przechowywane na ich serwerach. Nie ma możliwości dodania hasła w celu ochrony tajemnic, aby były dostępne tylko dla użytkownika”.
“Tajemnice“to termin używany w odniesieniu do prywatnych informacji, które pełnią rolę kluczy do odblokować chronione zasoby lub poufne informacje; w tym przypadku jednorazowe kody dostępu.
Mysk powiedział, że jego testy wykazały, że niezaszyfrowany ruch zawiera „ziarno”, które jest używane do generowania kodów 2FA. Zdaniem naukowców każdy, kto ma dostęp do tego materiału siewnego, może wygenerować własne kody dla tych samych kont i włamać się na nie.
„Gdyby serwery Google zostały naruszone, tajemnice wyciekłyby” — powiedział Mysk Gizmodo. Ponieważ kody QR związane z konfiguracją uwierzytelniania dwuskładnikowego zawierają nazwę konta lub usługi, osoba atakująca może również zidentyfikować konta. „Jest to szczególnie ryzykowne, jeśli jesteś aktywistą i anonimowo prowadzisz inne konta na Twitterze” – dodali badacze.
Następnie Mysk doradził użytkownikom, aby nie włączali funkcji konta Google, która synchronizuje kody 2FA między urządzeniami i chmurą.
Google właśnie zaktualizowało swoją aplikację 2FA Authenticator i dodało bardzo potrzebną funkcję: możliwość synchronizowania tajemnic na różnych urządzeniach. TL;DR: Nie włączaj tego. Nowa aktualizacja umożliwia użytkownikom logowanie się za pomocą konta Google i synchronizowanie tajnych funkcji 2FA na urządzeniach z systemem iOS i Android.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 kwietnia 2023 r.
W odpowiedzi na ostrzeżenie rzecznik Google powiedział CNET dla wygody dodał funkcję synchronizacji wcześniej, ale to kompleksowe szyfrowanie jest wciąż w drodze:
Encryption End-to-End Encryption (E2EE) to zaawansowana funkcja zapewniająca dodatkowe zabezpieczenia, ale kosztem umożliwienia użytkownikom zablokowania dostępu do własnych danych bez ich odzyskiwania. Aby mieć pewność, że oferujemy użytkownikom pełny zestaw opcji, w niektórych naszych produktach zaczęliśmy wprowadzać opcjonalne E2EE, aw przyszłości planujemy oferować E2EE dla Google Authenticator”.
Dopóki to się nie stanie, istnieją alternatywne usługi do synchronizacji kodów uwierzytelniających między urządzeniami, takie jak własny generator kodu 2FA firmy Apple i aplikacje innych firm, takie jak Authy.