Google 2FA सिंकिंग फ़ीचर आपकी गोपनीयता को खतरे में डाल सकता है

13 साल के लंबे इंतजार के बाद, Google प्रमाणक ने एक 2FA खाता-सिंक सुविधा जोड़ी है जो इसके उपयोगकर्ताओं को अपने 2FA कोड अनुक्रमों को क्लाउड में बैकअप करने की अनुमति देता है, जिसके बाद वे उन्हें एक नए डिवाइस में वापस पुनर्स्थापित कर सकते हैं।

हालांकि वह प्रक्रिया जिसमें उपयोगकर्ता अपना अपलोड करता है 2FA रहस्य एन्क्रिप्टेड है, सोफोस द्वारा नग्न सुरक्षा में शोधकर्ता और Mysk के iOS डेवलपर्स ने बताया कि उपयोगकर्ता के 2FA विवरण "Google के HTTPS नेटवर्क पैकेट के अंदर अनएन्क्रिप्टेड" थे। इसके अलावा, ऐसा कोई विकल्प नहीं है जिसमें कोई उपयोगकर्ता अपने डिवाइस को छोड़ने से पहले पासफ़्रेज़ का उपयोग करके अपने अपलोड को एन्क्रिप्ट कर सके।

यह इस तथ्य के कारण चिंताजनक है कि एक बार अपलोड होने के बाद डेटा के परिवहन के लिए एन्क्रिप्शन को हटा दिया जाता है, तो डेटा Google के लिए उपलब्ध होता है और वस्तुतः कोई भी व्यक्ति जो इस जानकारी की तलाश में है, जिसमें तलाशी वारंट भी शामिल है।

हालांकि यह संभव है कि Google भविष्य में इस सुरक्षा समस्या का समाधान कर सकता है, Mysk के शोधकर्ता "फिलहाल नई सिंकिंग सुविधा के बिना ऐप का उपयोग करने की सलाह देते हैं।"

"हालांकि 2FA रहस्यों को उपकरणों में सिंक करना सुविधाजनक है, यह आपकी गोपनीयता की कीमत पर आता है। सौभाग्य से, Google प्रमाणक अभी भी साइन इन या रहस्यों को सिंक किए बिना ऐप का उपयोग करने का विकल्प प्रदान करता है," कहा Mysk के शोधकर्ताओं ने एक ट्वीट में.