Исследование: 2FA-коды в Google Authenticator, синхронизированные с облаком, не защищены сквозным шифрованием

Представители компании уже пообещали исправить этот недочёт.

2 мин.
Текст: Леся
Исследование: 2FA-коды в Google Authenticator, синхронизированные с облаком, не защищены сквозным шифрованием

Ранее на этой неделе Google обновила своё приложение Authenticator, чтобы обеспечить резервное копирование и синхронизацию 2FA-кодов на устройствах, использующих аккаунт Google. В результате проверки, проведённой исследователями безопасности Mysk, выяснилось, что конфиденциальные одноразовые коды, синхронизируемые с облаком, не обеспечивают сквозного шифрования, что делает их потенциально уязвимыми.

До интеграции поддержки аккаунта Google все коды в приложении Google Authenticator хранились на устройстве. Это означало, что в случае потери устройства коды тоже терялись, что потенциально могло привести к потере доступа к аккаунту. Но, похоже, что, включив синхронизацию через облако, Google открыл пользователям доступ к риску безопасности другого рода.

«Мы проанализировали сетевой трафик, когда приложение синхронизирует секретные ключи, и оказалось, что сам трафик не имеет сквозного шифрования», – сообщил представитель компании Mysk. Это означает, что Google может видеть данные, вероятно, даже когда они хранятся на их серверах.

В компании рассказали, что их тесты обнаружили незашифрованный трафик содержащий «начальное значение», которое используется для генерации 2FA-кодов. По словам исследователей, любой, у кого есть к нему потенциальный доступ, может сгенерировать свои собственные коды для тех же учетных записей и взломать их.

«Если бы серверы Google были взломаны, произошла бы утечка данных», – пояснили представители Mysk в интервью изданию Gizmodo. Поскольку QR-коды, связанные с настройкой двухфакторной аутентификации, содержат название аккаунта или сервиса, злоумышленник также может идентифицировать учётные записи. «Это особенно опасно, если вы активист и ведёте другие аккаунты в Twitter анонимно», – добавили исследователи.

Компания Mysk рекомендовала пользователям не включать функцию синхронизации, которая предназначена для синхронизации 2FA-кодов между устройствами и облаком.

В ответ на это предупреждение представитель Google сообщил изданию CNET, что компания добавила функцию синхронизации раньше времени ради удобства, но сквозное шифрование по-прежнему в процессе добавления.

«End-to-End Encryption (E2EE) – это мощная функция, которая обеспечивает дополнительную защиту, но ценой того, что пользователи могут получить доступ к своим данным без возможности восстановления. Чтобы гарантировать, что мы предлагаем полный набор возможностей для пользователей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и планируем добавить E2EE для Google Authenticator в будущем».

Пока этого не произошло, существуют альтернативные сервисы для синхронизации кодов аутентификации на разных устройствах, такие как собственный генератор 2FA-кодов от Apple и сторонние приложения, например, Microsoft Authenticator.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube