Đầu tuần này, Google đã cập nhật ứng dụng Authenticator để cho phép sao lưu và đồng bộ hóa mã 2FA trên các thiết bị bằng Tài khoản Google. Giờ đây, một cuộc kiểm tra của các nhà nghiên cứu bảo mật Mysk đã phát hiện ra rằng mật mã dùng một lần nhạy cảm được đồng bộ hóa với đám mây không được mã hóa hai đầu, khiến chúng có khả năng bị lộ trước những kẻ xấu.
Trước đối với việc tích hợp hỗ trợ Tài khoản Google, tất cả các mã trong ứng dụng Google Authenticator đều được lưu trữ trên thiết bị, điều đó có nghĩa là nếu thiết bị bị mất thì mật mã dùng một lần cũng vậy, có khả năng gây mất quyền truy cập tài khoản. Nhưng có vẻ như bằng cách cho phép đồng bộ hóa dựa trên đám mây, Google đã mở ra cho người dùng một loại rủi ro bảo mật khác.
“Chúng tôi đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và hóa ra lưu lượng không được mã hóa hai đầu,”Mysk cho biết thông qua Twitter.”Điều này có nghĩa là Google có thể xem các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn nào để thêm cụm mật khẩu để bảo vệ các bí mật, để chỉ người dùng mới có thể truy cập chúng.”
“Bí mật“là một thuật ngữ dùng để chỉ các mẩu thông tin riêng tư đóng vai trò là chìa khóa để mở khóa các tài nguyên được bảo vệ hoặc thông tin nhạy cảm; trong trường hợp này là mật mã dùng một lần.
Mysk cho biết các thử nghiệm của họ đã phát hiện ra rằng lưu lượng truy cập không được mã hóa có chứa một”hạt giống”được sử dụng để tạo mã 2FA. Theo các nhà nghiên cứu, bất kỳ ai có quyền truy cập vào nguồn gốc đó đều có thể tạo mã của riêng họ cho cùng một tài khoản và đột nhập vào chúng.
“Nếu các máy chủ của Google bị xâm phạm, các bí mật sẽ bị rò rỉ,”Mysk nói với Gizmodo. Vì các mã QR liên quan đến việc thiết lập xác thực hai yếu tố chứa tên của tài khoản hoặc dịch vụ nên kẻ tấn công cũng có thể xác định được các tài khoản đó. Các nhà nghiên cứu cho biết thêm:”Điều này đặc biệt rủi ro nếu bạn là một nhà hoạt động và điều hành các tài khoản Twitter khác một cách ẩn danh”.
Mysk sau đó khuyên người dùng không nên bật tính năng tài khoản Google đồng bộ hóa mã 2FA trên các thiết bị và đám mây.
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ hóa bí mật trên các thiết bị. TL;DR: Đừng bật nó lên. Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) Ngày 26 tháng 4 năm 2023
Phản hồi cảnh báo, người phát ngôn của Google đã nói với CNET nó đã sớm thêm tính năng đồng bộ hóa để thuận tiện, nhưng mã hóa đầu cuối đó vẫn đang được phát triển:
Mã hóa đầu cuối (E2EE) là một tính năng mạnh mẽ cung cấp các biện pháp bảo vệ bổ sung, nhưng phải trả giá bằng việc cho phép người dùng bị khóa khỏi dữ liệu của chính họ mà không cần khôi phục. Để đảm bảo rằng chúng tôi cung cấp đầy đủ các tùy chọn cho người dùng, chúng tôi cũng đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và chúng tôi dự định cung cấp E2EE cho Google Authenticator trong tương lai.”
Cho đến khi điều đó xảy ra, vẫn có các dịch vụ thay thế để đồng bộ hóa mã xác thực trên các thiết bị, chẳng hạn như trình tạo mã 2FA của chính Apple và các ứng dụng của bên thứ ba như Authy.