Google добавляет сквозное шифрование end-to-end в Google Authenticator

Google Authenticator получит мощный щит безопасности. End-to-end шифрование обеспечит непревзойдённую защиту для двухфакторной аутентификации.

2023.04.28            


Источник: bleepingcomputer.comИсточник: bleepingcomputer.com Google вводит сквозное шифрование в облачные резервные копии Google Authenticator после того, как исследователи предостерегли пользователей от синхронизации кодов 2FA со своими учётными записями Google.

По сведениям ServerMon.ru, недавно Google Authenticator наконец-то получил долгожданную функцию резервного копирования токенов 2FA в облако.

Эта новая функция позволяет пользователям синхронизировать свои токены 2FA Google Authenticator с аккаунтом Google, обеспечивая резервное копирование, если мобильное устройство потеряется или повредится.

Она также позволяет пользователям получать доступ к своим токенам 2FA на нескольких устройствах, если все они входят в один и тот же аккаунт Google.

Отсутствие сквозного шифрования

Однако вскоре после анонса облачной синхронизации Google Authenticator исследователи безопасности из компании Mysk нашли, что данные не шифруются при загрузке на серверы Google.

«Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не шифруется из конца в конец», – говорится в сообщении Mysk.

«Как показано на скриншотах, это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах. Нет никакой возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только для пользователя».

End-to-End шифрование – это когда данные шифруются на устройстве с помощью пароля, известного только владельцу, прежде чем они будут переданы и сохранены на другом устройстве. Поскольку эти данные зашифрованы, к ним не может получить доступ никто другой, даже те, кто имеет доступ к серверу, на котором хранятся данные.

Поскольку Google Authenticator не предлагает сквозного шифрования, данные хранятся на сервере Google в формате, к которому потенциально могут получить доступ неавторизованные пользователи, будь то через брешь в системе Google или недобросовестный сотрудник.

«Каждый QR-код 2FA содержит секрет, или семя, которое используется для генерации одноразовых кодов. Если кто-то другой знает этот секрет, он может сгенерировать такие же одноразовые коды и обойти защиту 2FA», – продолжает Мыск.

«Таким образом, если произойдет утечка данных или кто-то получит доступ к Вашему аккаунту Google, все Ваши секреты 2FA будут скомпрометированы».

Authy, еще одно популярное приложение-аутентификатор, с годами набирает популярность, поскольку оно предлагает облачные резервные копии токенов 2FA, которые шифруются из конца в конец.

При использовании этой функции в Authy пользователи должны ввести пароль, известный только им, в результате чего все загружаемые данные шифруются до того, как они покинут мобильное устройство.

Кроме того, Authy не позволяет создавать резервные копии данных, если не установлен пароль сквозного шифрования, что обеспечивает более высокий уровень безопасности.

Однако эта функция связана с определённым риском, так как при потере пароля пользователи могут оказаться заблокированными и не смогут восстановить свои данные на другом устройстве.

E2EE появится в аутентификаторе Google

Компания Google услышала опасения пользователей по поводу отсутствия сквозного шифрования и заявила, что добавит его в будущую версию Google Authenticator.

Менеджер по продуктам Google Group Кристиаан Бранд сообщил BleepingComputer, что из-за того, что сквозное шифрование может привести к блокировке собственных данных пользователей, они осторожно внедряют эту функцию в свои продукты.

«Безопасность и защита наших пользователей имеет первостепенное значение для всего, что мы делаем в Google, и мы серьёзно относимся к этому. Недавнее обновление приложения Google Authenticator было сделано с учетом этой миссии, и мы предприняли тщательные шаги, чтобы убедиться, что сможем предложить его пользователям таким образом, чтобы оно защищало их безопасность и конфиденциальность, но при этом было полезным и удобным», – сказал Брэнд в интервью.

«Мы шифруем данные при передаче и в состоянии покоя во всех наших продуктах, в том числе в Google Authenticator. А End-to-End Encryption (E2EE) – это мощная функция, которая обеспечивает дополнительную защиту, но ценой того, что пользователи могут получить доступ к своим данным без возможности восстановления. Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем».

Google также уже обеспечивает шифрование E2E в некоторых своих сервисах, например, в Google Chrome, который позволяет задавать кодовую фразу для шифрования данных, синхронизированных с учетными записями Google.