Google обновила приложение Authenticator для хранения кодов двухфакторной аутентификации. Теперь оно оснащено синхронизацией. Но специалисты выяснили: эта функция не использует шифрование, что ставит под угрозу безопасность столь чувствительных данных.
Что за Google Authenticator
Двухфакторная аутентификация (2FA) — это дополнительный слой защиты аккаунтов: для входа в учётную запись, помимо логина и пароля, требуется указать и временный код. Атакующему нужно знать сразу три значения, из которых одно постоянно меняется. Включить двухфакторную аутентификацию позволяет почти каждый крупный ресурс, от Google до «ВКонтакте».
Обычно временный код приходит по SMS. Но этот способ считается ненадёжным: злоумышленники могут перехватить сообщение или вовсе дублировать симку. Поэтому позже придумали более хитрый алгоритм, получивший название TOTP (Time-based One-Time Password Algorithm). Одноразовый код, генерируемый по алгоритму TOTP, завязан на текущее время у сервера и клиента, а также на секретный хэш.
Утилита Google Authenticator служит клиентом для хранения TOTP-кодов. Сервер, управляющий учётной записью, и приложение обмениваются хэшем только один раз при добавлении аккаунта. Далее они никак не связываются, ведь хэш и актуальное время известны обеим сторонам. Такой подход защищает от перехвата одноразовых кодов.
Код меняется каждые 30 секунд и действителен один раз. Полминуты достаточно, чтобы успеть ввести переменную при входе в аккаунт. Этот промежуток времени заметно усложняет задачу атакующему, даже если он подсмотрит последовательность символов из-за спины, — ему ещё надо раздобыть логин и пароль.
В чём суть синхронизации
Раньше программа Google Authenticator не умела создавать резервные копии кодов. Поэтому при потере смартфона с этим приложением пропадала возможность входа в аккаунты с включённой 2FA. Зато синхронизация присутствует во многих аналогах — например, от Microsoft.
Как рассказали в «корпорации добра», новая функция периодически отправляет резервную копию с секретными хэшами от сохранённых аккаунтов на сервер компании. Данные связаны учёткой пользователя Google. Чтобы получить апдейт, достаточно обновиться до версии Google Authenticator 4.0 для iOS и 6.0 для Android.
Почему функцию лучше не использовать
Специалисты компании Mysk проанализировали сетевой трафик и выяснили, что секретные хэши отправляются в Google без шифрования на устройстве. Если кто-то получит доступ к учётной записи Google, все аккаунты с активированной двухфакторной аутентификацией будут скомпрометированы.
Обычно вместе с хэшами передаются имя учётной записи и название сервиса, для которого включается 2FA. Без шифрования поисковый гигант может узнать, в каких онлайн-сервисах зарегистрирован пользователь. Эту информацию нетрудно применить для настройки персонализированной рекламы, предостерегают сотрудники Mysk.
Специалист по кибербезопасности Грэхем Клули согласился с выводами экспертов Mysk и посоветовал не пользоваться синхронизацией в Google Authenticator. Благо эта опция не относится к обязательным.