Ang Google ay inanunsyo lang sa Security Blog nito na ang Authenticator app ng kumpanya ay nakakakuha hindi lamang ng muling pagdidisenyo na may bago, modernized na logo kundi pati na rin, at sa wakas, pag-synchronize ng account para sa iyong mga code! Hindi kailanman ginamit ng app na i-cloud sync ang iyong mga authentication code, na humahantong sa labis na pagkabigo at pagkayamot hindi lamang kapag sine-set up ito, ngunit kung magpapalit ka ng mga telepono o mag-upgrade, kailangang i-set up muli ang app, na humahantong sa maraming tao na ma-lock out sa kanilang mga account na nangangailangan ng mga code na ito.
“Isang pangunahing bahagi ng feedback na narinig namin mula sa mga user sa mga nakaraang taon ay ang pagiging kumplikado sa pagharap sa mga nawawala o nanakaw na device na may naka-install na Google Authenticator. Dahil ang mga minsanang code sa Authenticator ay naka-store lamang sa isang device, ang pagkawala ng device na iyon ay nangangahulugan na ang mga user ay nawalan ng kakayahang mag-sign in sa anumang serbisyo kung saan sila magse-set up ng 2FA gamit ang Authenticator.”
Maganda ito at lahat, ngunit sa isang kakaibang twist, ang mga code na ito, habang naka-sync sa iyong Google Account para sa mas madaling pag-setup at pag-recall sa mga bagong device, ay hindi end-to-end na naka-encrypt! Isa itong malaking maling hakbang ng Google, at nagsisimula nang mapansin ng mga user na ang solusyong ito ay half-baked.
Sa pamamagitan ng hindi pagkakaroon ng E2E encryption, ang mga ito ay posibleng malantad o maharang ng mga malisyosong third party. Ayon sa Mysk sa Twitter, na nagsabi sa Gizmodo tungkol sa kakulangan ng encryption,”sinuri nila ang trapiko sa network kapag sini-sync ng app ang mga lihim, at ito ay lumabas. ang trapiko ay hindi end-to-end na naka-encrypt,”at sinabing,”Ito ay nangangahulugan na makikita ng Google ang mga lihim, malamang kahit na habang naka-imbak ang mga ito sa kanilang mga server. Walang opsyon na magdagdag ng passphrase para protektahan ang mga lihim, para gawing naa-access lang ng user ang mga ito.”.
Mahalaga, sa pamamagitan ng pag-back up ng iyong mga lihim na code, maaaring tingnan pa ng Google ang mga ito nang hilaw sa kanilang mga server salamat sa isang nakalantad na”binhi”na ginamit upang buuin ang iyong mga code. Sa pamamagitan ng paghawak sa binhing iyon, sinuman ay maaaring gumawa ng sarili nilang mga code para sa iyong account at gamitin ang mga ito para magkaroon ng access. Siyempre, nangangahulugan ito na kung ang Google ay na-hack at may nakakuha ng data ng server nito kung saan naka-store itong impormasyon mo, magkakaroon sila ng direktang access sa lahat ng iyong bagay.
Mabilis na tumugon ang Google. sa sitwasyong ito sa pamamagitan ng CNET na nagsasaad na nagpaplano pa rin itong ilunsad ang E2E encryption sa Authenticator app nito sa tamang oras at na nagdagdag ito ng pag-sync ng account para sa”kaginhawahan”kahit na sumasalungat ito sa mismong ideya na panatilihin ang mga user sa abot ng kamay mula sa mga alalahanin sa panganib at seguridad.
(1/4) Palagi kaming nakatutok sa kaligtasan at seguridad ng @ Ang mga user ng Google, at ang mga pinakabagong update sa Google Authenticator ay walang pagbubukod. Ang aming layunin ay mag-alok ng mga feature na nagpoprotekta sa mga user, PERO ay kapaki-pakinabang at maginhawa.
— Christiaan Brand (@christiaanbrand) Abril 26, 2023
Maaari mo pa ring gamitin ang app nang hindi sini-sync ang iyong mga lihim na code, na nangangahulugang para sa sinumang user na nakakakita nito (maraming hindi sinasadyang magsi-sync ng kanilang mga account gayon pa man), inirerekumenda kong gamitin mo ito sa paraang palagi mong ginagawa – putulin ang mga server ng Google. Ipaalam sa akin sa mga komento kung ginagamit mo man ang Google Authenticator, o kung lumipat ka na sa iba pang solusyon tulad ng Authy.