Nowa funkcja Google Authenticator może zagrażać bezpieczeństwu użytkowników

Nowa funkcja Google Authenticator teoretycznie ma ułatwić użytkownikom logowanie się do używanych usług. W praktyce może jednak stwarzać zagrożenie dla ich bezpieczeństwa.

Google w tym tygodniu wypuściło aktualizację dla aplikacji Google Authenticator. Dzięki niej będzie teraz synchronizował wszystkie wygenerowane jednorazowe kody uwierzytelniania dwuskładnikowego (2FA) z kontami użytkownika. Wcześniej przechowywano je na jednym urządzeniu. W przypadku jego straty oznaczało to utratę możliwości zalogowania się do dowolnej usługi skonfigurowanej za pomocą aplikacji.

Google Authenticator ułatwi logowanie do usług

Do korzystania z nowej funkcji synchronizacji wystarczy jedynie zaktualizować Google Authenticator. Gdy zalogujemy się na własne konto za jej pośrednictwem, kopia zapasowa naszych kodów będzie automatycznie utworzona i przywrócona na każdym nowym urządzeniu, którego użyjemy. Możemy też ręcznie przenieść kody na inne urządzenie, nawet jeśli nie jesteśmy zalogowani na konto Google, wykonując czynności opisane na stronie pomocy.

W teorii nowa funkcja ma przynieść użytkownikom korzyści, ale w praktyce może dla nich stanowić zagrożenie. Zdaniem jednego z badaczy zajmującego się bezpieczeństwem, kopia zapasowa jednorazowych kodów dostępu (OTP) nie jest szyfrowana.

Badacz przeanalizował ruch sieciowy podczas opcji synchronizacji kodów i odkrył, że dane trafiające na serwery Google, są pozbawione szyfrowania end-to-end. Oznacza to, że koncern potencjalnie może podejrzeć tajne kody użytkowników, gdy znajdują się na jego serwerach. Co gorsza, w przypadku włamania na serwery lub naruszenia bezpieczeństwa konta Google, wszystkie tajne kody 2FA również zostaną przejęte. Z tego powodu Mysk na razie odradza włączanie w aplikacji opcji synchronizacji z chmurą.

Google przyznało się do braku szyfrowania end-to-end w nowej funkcji, ale twierdzi, że zrobiono to celowo.

Firma wyjaśnił, że jeśli użytkownicy stracą swe główne hasło, może to zablokować dostęp do ich własnych danych. Twierdziła też, że dane użytkowników są szyfrowane „w trakcie przesyłania i przechowywania” w produktach firmy, w tym w Google Authenticator. Jest to jednak sprzeczne z tym co zaobserwował Mysk oraz inni badacze. W każdym razie Alphabet obiecuje, że szyfrowanie end-to-end ostatecznie pojawi się w aplikacji, ale nie wiadomo na razie kiedy.