Эксперты: обновление Google Authenticator не шифрует коды 2FA при передаче в облако
Google в недавнем обновлении Authenticator анонсировала поддержку резервного копирования и синхронизации паролей двухэтапной аутентификации на устройствах с аккаунтом Google. Эксперты по кибербезопасности из Mysk обнаружили, что при синхронизации кодов с облаком не используется end-to-end шифрование.
cnet.com
Ранее одноразовые коды аутентификации генерировались исключительно на устройстве. При его утере владелец мог также лишиться доступа к аккаунтам, которые связаны с Google Authenticator. Новая функция должна была решить эту проблему.
Специалисты обнаружили в незашифрованном трафике seed-информацию, доступ к которой позволит хакерам генерировать собственные одноразовые коды.
Поскольку QR-коды, используемые для настройки двухэтапной аутентификации, содержат название аккаунта или сервиса, злоумышленники могут идентифицировать аккаунты, поэтому риск взлома учётных записей, связанных с Google Authenticator, оценили как высокий.
По словам экспертов, при взломе серверов Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, произошла бы масштабная утечка.
Проблема заключается в том, что для защиты этих одноразовых паролей нет возможности добавить парольную фразу, чтобы сделать их доступными только для пользователя.
В Mysk не советуют включать новую функцию.
В Google уже сообщили, что внедрят сквозное шифрование в будущем: «Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем».
Существуют доступные альтернативы Authenticator, такие как Authy, Duo и другие.
