Maagang bahagi ng linggong ito, in-update ng Google ang Authenticator app nito upang paganahin ang pag-backup at pag-sync ng mga 2FA code sa mga device gamit ang isang Google Account. Ngayon, napag-alaman ng isang pagsusuri ng mga mananaliksik sa seguridad ng Mysk na ang mga sensitibong minsanang passcode na sini-sync sa cloud ay hindi end-to-end na naka-encrypt, na nag-iiwan sa mga ito na posibleng malantad sa masasamang aktor.
Nakaraan sa pagsasama ng suporta sa Google Account, lahat ng code sa Google Authenticator app ay naka-store sa device, na nangangahulugang kung nawala ang device, ganoon din ang minsanang mga passcode, na posibleng magdulot din ng pagkawala ng access sa account. Ngunit tila sa pamamagitan ng pagpapagana ng cloud-based na pag-sync, nabuksan ng Google ang mga user sa isang panganib sa seguridad ng ibang uri.
“Sinuri namin ang trapiko sa network kapag na-sync ng app ang mga lihim, at lumalabas na ang trapiko ay hindi end-to-end na naka-encrypt,”sabi ni Mysk sa pamamagitan ng Twitter.”Nangangahulugan ito na makikita ng Google ang mga lihim, malamang kahit na nakaimbak ang mga ito sa kanilang mga server. Walang opsyon na magdagdag ng passphrase para protektahan ang mga lihim, para gawing accessible lang ng user ang mga ito.”
“Mga Lihim“ay isang terminong ginamit upang tumukoy sa mga pribadong piraso ng impormasyon na nagsisilbing mga susi sa i-unlock ang mga protektadong mapagkukunan o sensitibong impormasyon; sa kasong ito, isang beses na mga passcode.
Sinabi ng Mysk na natuklasan ng mga pagsubok nito na ang hindi naka-encrypt na trapiko ay naglalaman ng isang”binhi”na ginagamit upang bumuo ng mga 2FA code. Ayon sa mga mananaliksik, sinumang may access sa seed na iyon ay maaaring makabuo ng kanilang sariling mga code para sa parehong mga account at makapasok sa mga ito.
“Kung ang mga server ng Google ay nakompromiso, ang mga lihim ay maaaring tumagas,”sabi ni Mysk Gizmodo. Dahil ang mga QR code na kasangkot sa pagse-set up ng two-factor authentication ay naglalaman ng pangalan ng account o serbisyo, maaari ding tukuyin ng attacker ang mga account.”Ito ay partikular na mapanganib kung isa kang aktibista at nagpapatakbo ng iba pang mga Twitter account nang hindi nagpapakilala,”idinagdag ng mga mananaliksik.
Kasunod na pinayuhan ni Mysk ang mga user na huwag paganahin ang feature ng Google account na nagsi-sync ng 2FA code sa mga device at sa cloud.
Kaka-update lang ng Google sa 2FA Authenticator app nito at nagdagdag ng pinaka-kailangan na feature: ang kakayahang mag-sync ng mga lihim sa mga device. TL;DR: Huwag i-on. Ang bagong update ay nagbibigay-daan sa mga user na mag-sign in gamit ang kanilang Google Account at mag-sync ng mga lihim ng 2FA sa kanilang iOS at Android device.… pic.twitter.com/a8hhelipZR — Mysk 🇨🇦🇩🇪 (@mysk_co) Abril 26, 2023
/blockquote>
Bilang pagtugon sa babala, sinabi ng isang tagapagsalita ng Google sa CNET maaga nitong idinagdag ang feature sa pag-sync para sa kapakanan ng kaginhawahan, ngunit ang end-to-end na pag-encrypt ay nasa daan pa rin:Ang End-to-End Encryption (E2EE) ay isang mahusay na feature na nagbibigay ng mga karagdagang proteksyon, ngunit sa halaga ng pagpapagana sa mga user na ma-lock out sa kanilang sariling data nang walang pagbawi. Upang matiyak na nag-aalok kami ng buong hanay ng mga opsyon para sa mga user, sinimulan na rin naming ilunsad ang opsyonal na E2EE sa ilan sa aming mga produkto, at plano naming mag-alok ng E2EE para sa Google Authenticator sa hinaharap.”
Hanggang sa mangyari iyon, may mga alternatibong serbisyo para sa pag-sync ng mga authentication code sa mga device, gaya ng sariling 2FA code generator ng Apple at mga third-party na app tulad ng Authy.