Google добавил в своё приложения Authenticator синхронизацию. Всем бы радоваться, но специалисты по безопасности предупреждают, что всеобщее ликование пока нужно отложить.
Востребованная функция обмена «ключами» между пользовательскими устройствами появилась несколько дней назад в приложении Google Authenticator.
Что такое Google Authenticator?
Google Authenticator — это бесплатное приложение для мобильных устройств, разработанное компанией Google. Оно позволяет создать двухэтапную аутентификацию (2FA) для различных онлайн-сервисов, делая вход в аккаунты более безопасным.
С помощью Google Authenticator вы получаете временный одноразовый пароль (код), который нужно ввести при входе в свой аккаунт. Таким образом, кроме обычного логина и пароля, для входа потребуется еще и код. Это повышает безопасность вашего аккаунта, так как злоумышленникам намного сложнее получить доступ к вашей учетной записи, даже если они узнали ваш логин и пароль.
Что даёт пользователю функция синхронизации?
С новой функцией синхронизации пользователи Google Authenticator могут передавать «секреты» на несколько своих устройств. Функция полезна, если вы теряете свое основное устройство, на котором было установлено приложение.
С новой функцией синхронизации в Google Authenticator вы можете просто восстановить данные на дополнительном устройстве и продолжить использовать двухфакторную аутентификацию (2FA).
Почему синхронизация опасна?
Специалисты по безопасности из компании Mysk нашли огромный недостаток в функции синхронизации. И этот недостаток может стать камнем преткновения для пользователей, серьёзно относящихся к безопасности своих персональных данных.
Исследователи обнаружили, что синхронизация ключей в Google Authenticator на разных устройствах не зашифрована end-to-end (E2E).
————————————
End-to-end (или сквозное) шифрование — это метод шифрования сообщений или данных, при котором информация зашифровывается на устройстве отправителя и расшифровывается только на устройстве получателя. При этом, данные на промежуточных серверах (например, у провайдера или в облаке) зашифрованы и недоступны для доступа посторонних лиц, в том числе и для владельца сервера.
————————————
Поскольку эти секреты не имеют шифрования E2E в реализации Google, злоумышленник, который взломает вашу сеть, учетную запись Google или связанную инфраструктуру, сможет легко получить доступ к этим ключам и получить контроль над вашими кодами 2FA.
Более того, в Mysk считают, что Google (при желании) может злоупотреблять вашими секретами, например для персонализированной рекламы:
[...] QR-коды 2FA обычно содержат дополнительную информацию, такую как имя учетной записи и название сервиса (например, Twitter, Amazon и т.д.). Поскольку Google может видеть все эти данные, он знает, какими онлайн-сервисами вы пользуетесь, и потенциально может использовать эту информацию для персонализированной рекламы.
Удивительно, но экспортируемые данные Google не включают в себя секреты 2FA, которые хранятся в учетной записи пользователя Google. Мы загрузили все данные, связанные с учетной записью Google, которую мы использовали, и не нашли никаких следов секретов 2FA...
Что делать?
К счастью для пользователей, Google Authenticator по-прежнему предлагает возможность использовать приложение без входа в систему или синхронизации секретов. Специалисты-безопасники рекомендуют пока использовать приложение без новой функции синхронизации.
Google признал, что в текущем развертывании функций синхронизации в Authenticator отсутствует шифрование E2E.
В своём заявлении корпорация сделала упор, что внедрение функции было связано с желанием «огромного числа пользователей» иметь возможность синхронизации секретов между устройствами.
Что же касается шифрования E2E, то корпорация обязуется добавить его позже. Наверное, после того, как узнает все ваши секреты...