Czy wiesz, że aplikacja Google Authenticator nie była do tej pory bezpieczna? Może trudno to zaakceptować, ale tak jest. Google planuje teraz dodać kompleksowe szyfrowanie do Google Authenticator. Kilka dni temu badacze bezpieczeństwa skrytykowali firmę za to, że nie dodała wysokiego poziomu bezpieczeństwa do swojego narzędzia premium.
W odpowiedzi na krytykę firma wprowadza funkcję synchronizacji konta w Google Authenticator. Na swoim koncie na Twitterze menedżer produktu Google, Christiaan Bran, pisze, że firma planuje w przyszłości oferować E2EE. Pan Brand pisze:
„Na razie uważamy, że nasz obecny produkt zapewnia odpowiednią równowagę dla większości użytkowników i oferuje znaczące korzyści w porównaniu z użytkowaniem offline. Jednak opcja korzystania z aplikacji w trybie offline pozostanie wyborem dla tych, którzy wolą zarządzać własną strategią tworzenia kopii zapasowych”.
Google Authenticator otrzyma kompleksowe uwierzytelnianie…
To było szokujące, gdy dowiedziałem się, że Google Authenticator nie ma niezawodnej funkcji bezpieczeństwa. Na początku tego tygodnia narzędzie zaczęło wyświetlać użytkownikom opcję uwierzytelniania dwuskładnikowego. Dzięki tej opcji użytkownicy będą mogli synchronizować kody uwierzytelniania dwuskładnikowego ze swoimi kontami Google. Ułatwi to użytkownikom logowanie się na konta Google na nowych urządzeniach.
Gizchina Wiadomości tygodnia
To mile widziana zmiana, ale może wiązać się z pewnymi obawami dotyczącymi bezpieczeństwa. Dzięki tej zmianie hakerzy będą mogli uzyskać dostęp do wszystkich połączonych kont Google użytkownika, włamując się na jedno z nich. Jedno jest pewne, hakerzy, a nawet Google nie będą mogli zobaczyć informacji o użytkownikach, jeśli ta funkcja uzyska wsparcie E2EE. Mysk, badacz bezpieczeństwa, zwrócił uwagę na te zagrożenia na Twitterze. Powiedzieli:
„Jeśli kiedykolwiek dojdzie do naruszenia danych lub ktoś uzyska dostęp do Twojego konta Google, wszystkie Twoje tajemnice 2FA zostaną naruszone”.
Według badaczy Google będzie w stanie uzyskać dostęp do informacji o użytkownikach w celu wyświetlania spersonalizowanych reklam bez E2EE. Poradzili użytkownikom, aby nie korzystali z tej funkcji, dopóki Google nie doda obsługi E2EE. Z kolei Brand odwzajemnił się krytykom i powiedział:
„Podczas gdy Google szyfruje dane podczas przesyłania i spoczynku we wszystkich naszych produktach, w tym w Google Authenticator, zastosowanie E2EE wiąże się z kosztem zablokowania dostępu użytkowników do własne dane bez odzyskiwania.
W tej chwili nie jesteśmy pewni, kiedy Google doda funkcję E2EE do Google Authenticator. Jednak użytkownicy będą mieli możliwość włączenia tej funkcji bez E2EE lub będą mogli nadal korzystać z tej funkcji w trybie offline.
Źródło/VIA:
