Исследователи обнаружили, что в обновлении приложения Google 2FA отсутствует сквозное шифрование
29 апреля 2023 г.25 апреля исследователи безопасности Томми Мыск и Талал Хай Бакри, известные в Твиттере как Mysk, предупредили пользователей приложения Google Authenticator 2FA, чтобы они не включали новую функцию синхронизации. Мыск обнаружил недостаток в функции, в которой «секреты» или учетные данные, используемые на устройствах, не шифруются сквозным образом; это может позволить злоумышленникам или Google просмотреть эти учетные данные.
Менеджер по продуктам Google Group, идентификация и безопасность Кристиан Брэнд написал в Твиттере, что приложение Authenticator поставляется, как и предполагалось.
Перейти к:
- Что обновление приносит с приложением Google Authenticator?
В чем уязвимость безопасности?
Как безопасно использовать приложение Google Authenticator
Как Google отреагировал на эту новость о безопасности
Что обновление приносит с приложением Google Authenticator?
На устройствах Android и iOS пользователи могут синхронизировать учетные данные 2FA для входа в различные службы, такие как социальные сети. Это изменение произошло, когда Google включил свое приложение 2FA Authenticator для синхронизации учетных данных на разных устройствах. По словам Мыска, это «крайне необходимая» функция, поскольку она упрощает возврат в учетную запись, даже если вы не можете получить доступ к устройству, на котором вы первоначально вошли в систему. недостаток.
В чем уязвимость системы безопасности двухфакторной аутентификации Google?
Короче говоря, сетевой трафик, используемый для синхронизации секретов в Google Authenticator, не зашифрован сквозным образом. Каждый «секрет» в QR-кодах 2FA используется для генерации уникального кода; когда приложение Authenticator синхронизирует секреты между устройствами, они отправляются в формате, который могут увидеть Google или злоумышленники. Нет настройки, с помощью которой пользователь мог бы защитить парольную фразу или иным образом скрыть свои секреты 2FA. (Майск отметил, что Google Chrome поддерживает парольные фразы для аналогичного использования.)
Если кто-то получит вашу учетную запись Google путем утечки данных или другим способом, он может найти секреты 2FA, которые разблокируют защиту учетной записи.
Отсутствие сквозного шифрования также означает, что у Google есть прозрачное представление о том, какие услуги использует каждый владелец учетной записи; это информация, которую Google может использовать для таргетинга персонализированной рекламы. Он также может раскрывать имена учетных записей, в том числе таких, как профессиональные и личные учетные записи Twitter, которые могут быть не связаны публично.
Интересно, что Mysk обнаружил, что приложение не предоставляет учетные данные 2FA, связанные с учетной записью пользователя Google.
ПОСМОТРЕТЬ: в марте Google Workspace добавила шифрование на стороне клиента в Gmail и Календарь.
Как безопасно использовать приложение Google Authenticator
Использование Google Authenticator в автономном режиме без привязки его к вашей учетной записи Google — это один из способов обойти эту проблему безопасности, как и не использовать функцию синхронизации. Однако оба варианта удаляют большую часть полезности нового обновления.
В Твиттере Mysk написал: «Итог: хотя синхронизация секретов 2FA между устройствами удобна, это происходит за счет вашей конфиденциальности. К счастью, Google Authenticator по-прежнему предлагает возможность использовать приложение без входа в систему или синхронизации секретов. Мы рекомендуем пока использовать приложение без новой функции синхронизации».
Как Google отреагировал на эту новость о безопасности
Бренд ответил на эти опасения в Твиттере, заявив, что «дополнительная защита», предлагаемая сквозным шифрованием, была отложена, чтобы сбалансировать «стоимость предоставления пользователям возможности заблокировать свои данные без восстановления».
Он добавил: «Чтобы убедиться, что мы предлагаем пользователям полный набор опций, мы начали внедрять дополнительное шифрование E2E в некоторые из наших продуктов, и у нас есть планы предложить E2EE для Google Authenticator в будущем».
Оригинал