Ранее на этой неделе Google обновил свое приложение Authenticator, чтобы обеспечить резервное копирование и синхронизацию кодов 2FA между устройствами с использованием учетной записи Google. Теперь исследование, проведенное исследователями безопасности Mysk, показало, что конфиденциальные одноразовые пароли, синхронизируемые с облаком, не имеют сквозного шифрования, что оставляет их потенциально уязвимыми для злоумышленников.
До интеграции поддержки учетной записи Google все коды в приложении Google Authenticator хранились на устройстве, что означало, что в случае утери устройства одноразовые пароли также терялись, что могло привести к потере доступа к учетной записи. Но похоже, что, включив облачную синхронизацию, Google открыл пользователям риск безопасности другого рода.
«Мы проанализировали сетевой трафик при синхронизации секретов приложением, и оказалось, что трафик не имеет сквозного шифрования», — сообщил Mysk через Twitter. «Это означает, что Google может видеть секреты, вероятно, даже во время их хранения на своих серверах. Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю.»
«Секреты» — это термин, используемый для обозначения частных фрагментов информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае, одноразовых паролей.
Mysk заявил, что в ходе их тестов был обнаружен незашифрованный трафик, содержащий «начальное значение», используемое для генерации кодов 2FA. По словам исследователей, любой, кто получит доступ к этому начальному значению, сможет генерировать собственные коды для тех же учетных записей и получать к ним доступ.
«Если серверы Google будут скомпрометированы, секреты утекут», — сообщил Mysk Gizmodo. Поскольку QR-коды, используемые для настройки двухфакторной аутентификации, содержат название учетной записи или сервиса, злоумышленник также может идентифицировать учетные записи. «Это особенно рискованно, если вы активист и анонимно ведете другие аккаунты в Twitter», — добавили исследователи.
Впоследствии Mysk рекомендовал пользователям не включать функцию учетной записи Google, которая синхронизирует коды 2FA между устройствами и облаком.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don’t turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
В ответ на предупреждение представитель Google сообщил CNET, что они добавили функцию синхронизации на раннем этапе для удобства, но сквозное шифрование еще находится в разработке:
Сквозное шифрование (E2EE) — это мощная функция, которая обеспечивает дополнительную защиту, но за счет того, что пользователи могут быть заблокированы от своих собственных данных без возможности восстановления. Чтобы гарантировать, что мы предлагаем полный набор опций для пользователей, мы также начали внедрять опциональное E2EE в некоторые из наших продуктов и планируем предложить E2EE для Google Authenticator в будущем.
До тех пор существуют альтернативные сервисы для синхронизации кодов аутентификации между устройствами, такие как собственный генератор кодов 2FA от Apple и сторонние приложения, такие как Authy.
