Alam mo ba na hindi secure ang Google Authenticator hanggang ngayon? Maaaring mahirap tanggapin, ngunit ito ay totoo. Pinaplano na ngayon ng Google na magdagdag ng end-to-end na pag-encrypt sa Google Authenticator. Ilang araw na ang nakalipas, pinuna ng mga mananaliksik sa seguridad ang kumpanya dahil sa hindi pagdaragdag ng mataas na antas ng seguridad sa premium na tool nito.
Bilang tugon sa pagpuna, naglulunsad ang kumpanya ng feature na pag-sync ng account sa Google Authenticator. Sa kanyang Twitter account, isinulat ng manager ng produkto ng Google na si Christiaan Bran na plano ng kumpanya na mag-alok ng E2EE sa hinaharap. Sumulat si Mr. Brand,
“Sa ngayon, naniniwala kami na ang aming kasalukuyang produkto ay naaabot ang tamang balanse para sa karamihan ng mga user at nag-aalok ng mga makabuluhang bentahe sa offline na paggamit. Gayunpaman, ang opsyong gamitin ang application offline ay mananatiling isang pagpipilian sa mga mas gustong pamahalaan ang kanilang sariling backup na diskarte.”
Ang Google Authenticator ay Makakakuha ng End-to-End Authentication…
Nakakagulat na malaman na ang Google Authenticator ay walang maaasahang tampok sa seguridad. Mas maaga sa linggong ito, nagsimula ang tool na magpakita ng opsyon sa pagpapatunay ng dalawang salik sa mga user nito. Sa opsyong ito, makakapag-sync ang mga user ng two-factor authentication code sa kanilang mga Google account. Gagawin nitong mas madali para sa mga user na mag-sign in sa kanilang mga Google account sa mga bagong device.
Gizchina News of the week
Ito ay isang malugod na pagbabago, ngunit maaaring magdulot ito ng ilang alalahanin sa seguridad. Sa pagbabagong ito, maa-access ng mga hacker ang lahat ng naka-link na Google account ng isang user sa pamamagitan ng pagpasok sa isa. Isang bagay ang sigurado, ang mga hacker at maging ang Google ay hindi makikita ang impormasyon ng mga user kung ang feature na ito ay makakakuha ng suporta sa E2EE. Si Mysk, isang security researcher, itinuro ang mga panganib na ito sa Twitter. Sabi nila:
“Kung sakaling magkaroon ng data breach o may makakuha ng access sa iyong Google account, lahat ng 2FA secret mo ay makompromiso.”
Ayon sa mga mananaliksik, ang Google ay magiging ma-access ang impormasyon ng mga user upang magpakita ng mga personalized na ad nang walang E2EE. Pinayuhan nila ang mga user na huwag gamitin ang feature na ito hanggang sa magdagdag ang Google ng suporta sa E2EE. Kaugnay nito, binatukan ni Brand ang mga kritiko at sinabing,
“Habang nag-e-encrypt ang Google ng data sa pagbibiyahe at nagpapahinga sa lahat ng aming mga produkto, kabilang ang Google Authenticator, ang paglalapat ng E2EE ay may halaga ng pag-lock ng mga user mula sa kanilang sariling data nang walang pagbawi.
Sa ngayon, hindi kami sigurado kung kailan idaragdag ng Google ang tampok na E2EE sa Google Authenticator. Gayunpaman, magkakaroon ng opsyon ang mga user na paganahin ang feature na ito nang walang E2EE, o maaari nilang ipagpatuloy ang paggamit ng feature na ito offline.
Source/VIA: