Google Authenticator συγχρονισμός χωρίς end-to-end κρυπτογράφηση

Μια νέα δυνατότητα συγχρονισμού με το σύννεφο του Google Authenticator δέχεται πυρά από υποστηρικτές του απορρήτου που ισχυρίζονται ότι η επικοινωνία μεταξύ του τελικού σημείου και του δεν είναι κρυπτογραφημένη και μπορεί να υποκλαπεί από επιτιθέμενους.

Η λειτουργία συγχρονισμού προστέθηκε από την για να βοηθήσει τους χρήστες να δημιουργούν αντίγραφα ασφαλείας των κωδικών ελέγχου δύο παραγόντων στο cloud.

google authenticator 1

Ερευνητές στην Mysk ανέλυσαν την κυκλοφορία δικτύου της ενημερωμένης ς Google Authenticator και ανέφεραν ότι “αποδείχθηκε ότι η κίνηση δεν είναι end-to-end κρυπτογραφημένη”.

“Η Google μόλις ενημέρωσε την εφαρμογή 2FA Authenticator και πρόσθεσε μια απαραίτητη λειτουργία: τη δυνατότητα συγχρονισμού μεταξύ συσκευών. TL;DR: Μην την ενεργοποιήσετε”, εξήγησε ο Mysk σε ένα tweet. “Αν και ο συγχρονισμός των 2FA κωδικών σε όλες τις συσκευές είναι βολικός, έρχεται σε βάρος του απορρήτου σας.”

Οι ερευνητές ανέφεραν ότι με την έλλειψη κρυπτογράφησης είναι πολύ πιθανόν να δούμε διαρροές δεδομένων και επιθέσεις σε λογαριασμούς της Google. Μια επιτυχημένη επίθεση θα δώσει στον επιτιθέμενο πρόσβαση στον κώδικα QR του ελέγχου ταυτότητας δύο παραγόντων που χρησιμοποιείται για τη δημιουργία κωδικών μίας χρήσης.

“Κάθε κωδικός QR 2FA περιέχει ένα seed, που χρησιμοποιείται για τη δημιουργία των κωδικών μίας χρήσης. Εάν κάποιος γνωρίζει το seed, μπορεί να δημιουργήσει τους ίδιους κωδικούς μίας χρήσης και να παρακάμψει τις προστασίες 2FA. Έτσι, εάν υπάρξει ποτέ κάποια δεδομένων ή εάν κάποιος αποκτήσει πρόσβαση στον λογαριασμό σας στην Google, όλα τα 2FA seed θα τεθούν σε κίνδυνο”.

Ο Paul Ducklin στο Naked Security blog της Sophos ανέφερε ότι οποιοσδήποτε μπορεί να αναζητήσει τα δεδομένα σας στην Google θα μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα για τον έλεγχο ταυτότητας.

Οι ερευνητές του Mysk συνιστούν στους χρήστες που ανησυχούν για το απόρρητο να απενεργοποιήσουν τη νέα δυνατότητα συγχρονισμού στην εφαρμογή Google Authenticator.

Ένα tweet από τον Christiaan Brand της Google, διαχειριστή προϊόντων για την ταυτότητα και την ασφάλεια, ανέφερε ότι αναγνωρίζει τις ανησυχίες για το απόρρητο και δήλωσε ότι η Google σκοπεύει να διαθέσει end-to-end κρυπτογράφηση για την εφαρμογή.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).