Google Authenticator оказался небезопасным

Эксперты по кибербезопасности из Mysk обнаружили, что когда Google Authenticator синхронизирует коды с «облаком», трафик шифруется недостаточно хорошо.

24 апреля Google рассказали о новой фиче, которую многие ждали: приложение для генерации одноразовых кодов аутентификации Google Authenticator научилось бэкапить данные.

Но оказалось, что функция далеко небезопасна.

В чём проблема?

Эксперты из Mysk рассказали, что при должном желании в трафике можно увидеть seed-информацию.

С помощью неё злоумышленники запросто смогут генерировать собственные одноразовые коды. Это во-первых. Во-вторых, в QR-кодах для настройки двухэтапной аутентификации есть название аккаунта. А значит, можно идентифицировать аккаунты.

Дальше представляем, что сервера Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, «ломают» и получаем масштабную утечку.

Сценарий может показаться маловероятным, но это не так. Утечки у крупных корпораций периодически бывают, и это не такое редкое событие.

Что безопаснее: облачная синхронизация или старый алгоритм?

Если раньше одноразовые коды аутентификации генерировались на устройстве и вы бы вдруг теряли его, то вместе с ним вы бы потеряли и доступ к аккаунтам, связанным с Google Authenticator. Функция должна была бы решить эту проблему, но принесла другую.

То есть пока есть поменяли шило на мыло. Поэтому эксперты из Mysk советуют пока не включать новую функцию.

Доведут ли облачную синхронизацию до ума?

Хорошая новость в том, что Google о проблеме знает и уже работает над ней. В компании сказали, что сквозное шифрование в будущем появится:

Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем.