Google 2FA-synkroniseringsfunktion kan sætte dit privatliv i fare

Efter en 13-års lang ventetid har Google Authenticator tilføjet en 2FA-kontosynkroniseringsfunktion, der giver brugerne mulighed for at sikkerhedskopiere deres 2FA-kodesekvenser i skyen, hvorefter de kan gendanne dem tilbage til en ny enhed.

Selvom den proces, hvor en bruger uploader deres 2FA hemmeligheder er krypteret, forskere ved Naked Security by Sophos og iOS-udviklere hos Mysk rapporterede, at en brugers 2FA-detaljer var "ukrypterede inde i Googles HTTPS-netværkspakker." Desuden er der ingen mulighed, hvor en bruger kan kryptere deres upload ved hjælp af en adgangssætning, før den forlader deres enhed.

Dette er bekymrende på grund af det faktum, at når krypteringen til transport af data er fjernet, efter at uploaden er ankommet, er dataene tilgængelige for Google og praktisk talt alle andre, der søger efter disse oplysninger, herunder alle med en ransagningskendelse.

Selvom det er muligt, at Google kan løse dette sikkerhedsproblem i fremtiden, anbefaler forskere hos Mysk at bruge appen uden den nye synkroniseringsfunktion for nu.

“Selvom det er praktisk at synkronisere 2FA-hemmeligheder på tværs af enheder, sker det på bekostning af dit privatliv. Heldigvis tilbyder Google Authenticator stadig muligheden for at bruge appen uden at logge ind eller synkronisere hemmeligheder," sagde Mysk-forskere i et tweet.