เมื่อต้นสัปดาห์นี้ Google ได้อัปเดตแอป Authenticator เพื่อเปิดใช้งานการสำรองและซิงค์รหัส 2FA ในอุปกรณ์ต่างๆ โดยใช้บัญชี Google ขณะนี้ การตรวจสอบโดยนักวิจัยด้านความปลอดภัยของ Mysk พบว่ารหัสผ่านแบบใช้ครั้งเดียวที่ละเอียดอ่อนซึ่งซิงค์กับระบบคลาวด์นั้นไม่ได้เข้ารหัสแบบ end-to-end ทำให้อาจถูกเปิดเผยต่อผู้ไม่หวังดี
ก่อนหน้านี้ ในการรวมการสนับสนุนบัญชี Google รหัสทั้งหมดในแอป Google Authenticator จะถูกจัดเก็บไว้ในอุปกรณ์ ซึ่งหมายความว่าหากอุปกรณ์สูญหาย รหัสผ่านที่ใช้ได้ครั้งเดียวก็เช่นกัน อาจทำให้สูญเสียการเข้าถึงบัญชีได้เช่นกัน แต่ดูเหมือนว่าด้วยการเปิดใช้งานการซิงค์บนคลาวด์ Google ได้เปิดให้ผู้ใช้ได้รับความเสี่ยงด้านความปลอดภัยในรูปแบบอื่น
“เราวิเคราะห์การรับส่งข้อมูลเครือข่ายเมื่อแอปซิงค์ข้อมูลลับ และปรากฎว่าการรับส่งข้อมูลไม่ได้เข้ารหัสจากต้นทางถึงปลายทาง”Mysk กล่าวผ่าน ทวิตเตอร์“นั่นหมายความว่า Google สามารถมองเห็นความลับได้ แม้ว่าจะถูกเก็บไว้ในเซิร์ฟเวอร์ก็ตาม ไม่มีตัวเลือกในการเพิ่มข้อความรหัสผ่านเพื่อป้องกันความลับ เพื่อให้เข้าถึงได้โดยผู้ใช้เท่านั้น”
“ความลับ“เป็นคำที่ใช้อ้างถึงข้อมูลส่วนตัวที่ทำหน้าที่เป็นกุญแจสู่ ปลดล็อกทรัพยากรที่มีการป้องกันหรือข้อมูลที่ละเอียดอ่อน ในกรณีนี้คือรหัสผ่านแบบใช้ครั้งเดียว
Mysk กล่าวว่าการทดสอบพบว่าทราฟฟิกที่ไม่ได้เข้ารหัสมี”seed”ที่ใช้สร้างรหัส 2FA นักวิจัยระบุว่าใครก็ตามที่เข้าถึงเมล็ดพันธุ์นั้นสามารถสร้างรหัสของตัวเองสำหรับบัญชีเดียวกันและเจาะเข้าไปในพวกมันได้
“หากเซิร์ฟเวอร์ของ Google ถูกบุกรุก ความลับจะรั่วไหล”Mysk กล่าวกับ Gizmodo เนื่องจากรหัส QR ที่เกี่ยวข้องกับการตั้งค่าการยืนยันตัวตนแบบสองปัจจัยประกอบด้วยชื่อบัญชีหรือบริการ ผู้โจมตีจึงสามารถระบุบัญชีได้”สิ่งนี้มีความเสี่ยงเป็นพิเศษหากคุณเป็นนักเคลื่อนไหวและเรียกใช้บัญชี Twitter อื่น ๆ โดยไม่เปิดเผยตัวตน”นักวิจัยกล่าวเสริม
Mysk แนะนำให้ผู้ใช้ไม่เปิดใช้ฟีเจอร์บัญชี Google ที่ซิงค์รหัส 2FA ระหว่างอุปกรณ์และระบบคลาวด์.
Google เพิ่งอัปเดตแอป 2FA Authenticator และเพิ่มคุณลักษณะที่จำเป็นมาก นั่นคือความสามารถในการซิงค์ข้อมูลลับระหว่างอุปกรณ์ต่างๆ TL; DR: อย่าเปิด การอัปเดตใหม่ช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้ด้วยบัญชี Google และซิงค์ข้อมูลลับ 2FA บนอุปกรณ์ iOS และ Android… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 เมษายน 2023
เพื่อตอบสนองต่อคำเตือน โฆษกของ Google บอกกับ CNET ได้เพิ่มคุณลักษณะการซิงค์ก่อนหน้านี้เพื่อความสะดวก แต่การเข้ารหัสแบบ end-to-end นั้นยังคงอยู่ในระหว่างทาง:
End-to-End Encryption (E2EE) เป็นคุณลักษณะอันทรงพลังที่ให้การป้องกันเพิ่มเติม แต่มีค่าใช้จ่ายในการทำให้ผู้ใช้สามารถล็อคข้อมูลของตนเองได้โดยไม่ต้องกู้คืน เพื่อให้แน่ใจว่าเรานำเสนอตัวเลือกทั้งหมดสำหรับผู้ใช้ เราจึงเริ่มเปิดตัวตัวเลือก E2EE ในบางผลิตภัณฑ์ของเรา และเราวางแผนที่จะนำเสนอ E2EE สำหรับ Google Authenticator ในอนาคต”
จนกว่าจะเป็นเช่นนั้น มีบริการทางเลือกสำหรับการซิงค์รหัสการตรวจสอบสิทธิ์ในอุปกรณ์ต่างๆ เช่น โปรแกรมสร้างรหัส 2FA ของ Apple และแอปของบุคคลที่สาม เช่น Authy.
