Google vừa thông báo trên Blog bảo mật của mình rằng ứng dụng Authenticator của công ty không chỉ được thiết kế lại với logo mới, được hiện đại hóa mà còn cuối cùng là đồng bộ hóa tài khoản cho mã của bạn! Ứng dụng chưa bao giờ được sử dụng để đồng bộ hóa mã xác thực của bạn trên đám mây, dẫn đến nhiều sự thất vọng và khó chịu không chỉ khi thiết lập mà nếu bạn đổi điện thoại hoặc nâng cấp, ứng dụng cần phải được thiết lập lại, khiến nhiều người bị khóa quyền truy cập của họ. các tài khoản yêu cầu những mã này.
“Một phản hồi chính mà chúng tôi đã nhận được từ người dùng trong nhiều năm qua là sự phức tạp trong việc xử lý các thiết bị bị mất hoặc bị đánh cắp đã cài đặt Google Authenticator. Vì mã dùng một lần trong Authenticator chỉ được lưu trữ trên một thiết bị nên việc mất thiết bị đó đồng nghĩa với việc người dùng sẽ mất khả năng đăng nhập vào bất kỳ dịch vụ nào mà họ đã thiết lập 2FA bằng Authenticator”.
Điều này thật tuyệt vời, nhưng có một điều kỳ lạ là những mã này, trong khi được đồng bộ hóa với Tài khoản Google của bạn để thiết lập và truy xuất dễ dàng hơn trên các thiết bị mới, lại không được mã hóa hai đầu! Đây là một sai lầm lớn của Google và người dùng bắt đầu nhận thấy rằng giải pháp này mới được triển khai một nửa.
Do không có mã hóa E2E, những thứ này có khả năng bị lộ hoặc bị chặn bởi các bên thứ ba độc hại. Theo Mysk trên Twitter, người đã nói với Gizmodo về việc thiếu mã hóa, họ “đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và kết quả là lưu lượng truy cập không được mã hóa nối đầu,” và tuyên bố, “Điều này có nghĩa là Google có thể nhìn thấy các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn nào để thêm cụm mật khẩu để bảo vệ các bí mật, để chỉ người dùng mới có thể truy cập chúng”.
Về cơ bản, bằng cách sao lưu các mã bí mật của bạn, Google thậm chí có thể xem chúng thô trên máy chủ của họ nhờ đến một”hạt giống”được sử dụng để tạo mã của bạn. Bằng cách nắm giữ hạt giống đó, bất kỳ ai cũng có thể tạo mã của riêng họ cho tài khoản của bạn và sử dụng chúng để có quyền truy cập. Tất nhiên, điều này có nghĩa là nếu Google bị tấn công và ai đó nắm giữ dữ liệu máy chủ của Google, nơi lưu trữ thông tin này của bạn, thì họ sẽ có quyền truy cập trực tiếp vào tất cả nội dung của bạn.
Google đã nhanh chóng phản hồi về tình huống này thông qua CNET tuyên bố rằng họ vẫn đang có kế hoạch triển khai mã hóa E2E cho ứng dụng Authenticator của mình kịp thời và họ đã thêm tính năng đồng bộ hóa tài khoản để “thuận tiện” mặc dù nó xung đột với chính ý tưởng giữ người dùng tránh xa các mối lo ngại về rủi ro và bảo mật.
(1/4) Chúng tôi luôn tập trung vào sự an toàn và bảo mật của @ Google người dùng và các bản cập nhật mới nhất cho Google Authenticator cũng không ngoại lệ. Mục tiêu của chúng tôi là cung cấp các tính năng bảo vệ người dùng NHƯNG phải hữu ích và tiện lợi.
— Thương hiệu Christiaan (@christiaanbrand) Ngày 26 tháng 4 năm 2023
Bạn vẫn có thể sử dụng ứng dụng mà không cần đồng bộ hóa mã bí mật của mình, điều đó có nghĩa là đối với bất kỳ người dùng nào nhìn thấy điều này (có nhiều người sẽ vô tình đồng bộ hóa tài khoản của họ dù sao đi nữa), tôi khuyên bạn nên sử dụng nó theo cách bạn vẫn làm – bị ngắt kết nối với các máy chủ của Google. Hãy cho tôi biết trong phần nhận xét nếu bạn hoàn toàn sử dụng Google Authenticator hoặc nếu bạn đã chuyển sang các giải pháp khác như Authy.