Μια νέα δυνατότητα συγχρονισμού με το σύννεφο του Google Authenticator δέχεται πυρά από υποστηρικτές του απορρήτου που ισχυρίζονται ότι η επικοινωνία μεταξύ του τελικού σημείου και του cloud δεν είναι κρυπτογραφημένη και μπορεί να υποκλαπεί από επιτιθέμενους.
Η λειτουργία συγχρονισμού προστέθηκε από την Google για να βοηθήσει τους χρήστες να δημιουργούν αντίγραφα ασφαλείας των κωδικών ελέγχου ταυτότητας δύο παραγόντων στο cloud.
Ερευνητές στην Mysk ανέλυσαν την κυκλοφορία δικτύου της ενημερωμένης εφαρμογής Google Authenticator και ανέφεραν ότι “αποδείχθηκε ότι η κίνηση δεν είναι end-to-end κρυπτογραφημένη”.
“Η Google μόλις ενημέρωσε την εφαρμογή 2FA Authenticator και πρόσθεσε μια απαραίτητη λειτουργία: τη δυνατότητα συγχρονισμού μεταξύ συσκευών. TL;DR: Μην την ενεργοποιήσετε”, εξήγησε ο Mysk σε ένα tweet. “Αν και ο συγχρονισμός των 2FA κωδικών σε όλες τις συσκευές είναι βολικός, έρχεται σε βάρος του απορρήτου σας.”
Οι ερευνητές ανέφεραν ότι με την έλλειψη κρυπτογράφησης είναι πολύ πιθανόν να δούμε διαρροές δεδομένων και επιθέσεις σε λογαριασμούς της Google. Μια επιτυχημένη επίθεση θα δώσει στον επιτιθέμενο πρόσβαση στον κώδικα QR του ελέγχου ταυτότητας δύο παραγόντων που χρησιμοποιείται για τη δημιουργία κωδικών μίας χρήσης.
“Κάθε κωδικός QR 2FA περιέχει ένα seed, που χρησιμοποιείται για τη δημιουργία των κωδικών μίας χρήσης. Εάν κάποιος γνωρίζει το seed, μπορεί να δημιουργήσει τους ίδιους κωδικούς μίας χρήσης και να παρακάμψει τις προστασίες 2FA. Έτσι, εάν υπάρξει ποτέ κάποια παραβίαση δεδομένων ή εάν κάποιος αποκτήσει πρόσβαση στον λογαριασμό σας στην Google, όλα τα 2FA seed θα τεθούν σε κίνδυνο”.
Ο Paul Ducklin στο Naked Security blog της Sophos ανέφερε ότι οποιοσδήποτε μπορεί να αναζητήσει τα δεδομένα σας στην Google θα μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα για τον έλεγχο ταυτότητας.
Οι ερευνητές του Mysk συνιστούν στους χρήστες που ανησυχούν για το απόρρητο να απενεργοποιήσουν τη νέα δυνατότητα συγχρονισμού στην εφαρμογή Google Authenticator.
Ένα tweet από τον Christiaan Brand της Google, διαχειριστή προϊόντων για την ταυτότητα και την ασφάλεια, ανέφερε ότι αναγνωρίζει τις ανησυχίες για το απόρρητο και δήλωσε ότι η Google σκοπεύει να διαθέσει end-to-end κρυπτογράφηση για την εφαρμογή.
