Google Authenticator не использует сквозное шифрование при облачной синхронизации. Компания обещает добавить его в будущем

Несколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя. Но оказалось, что это не единственная угроза безопасности.

В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников.

«Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах. Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю».

Секреты — это термин, используемый для обозначения частных частей информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае одноразовые пароли.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don’t turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk ???? (@mysk_co) April 26, 2023

На основании собственных тестов Mysk утверждает, что незашифрованный трафик содержит «начальное число», которое используется для генерации кодов 2FA. По словам исследователей, любой, у кого есть доступ к этим данным, может генерировать свои собственные коды для тех же учетных записей и