Google 2FA-synchronisatiefunctie kan uw privacy in gevaar brengen

Na 13 jaar wachten heeft Google Authenticator een 2FA-accountsynchronisatiefunctie toegevoegd waarmee gebruikers een back-up van hun 2FA-codereeksen in de cloud kunnen maken, waarna ze deze weer op een nieuw apparaat kunnen herstellen.

Hoewel het proces waarin een gebruiker zijn 2FA-geheimen is gecodeerd, onderzoekers van Naked Security van Sophos en iOS-ontwikkelaars bij Mysk meldden dat de 2FA-gegevens van een gebruiker "niet-versleuteld waren in de HTTPS-netwerkpakketten van Google". Bovendien is er geen optie waarbij een gebruiker zijn upload kan versleutelen met een wachtwoordzin voordat deze zijn apparaat verlaat.

Dit is zorgwekkend vanwege het feit dat zodra de codering voor het transport van de gegevens wordt verwijderd nadat de upload is aangekomen, de gegevens beschikbaar zijn voor Google en vrijwel iedereen die op zoek is naar deze informatie, inclusief iedereen met een huiszoekingsbevel.

Hoewel het mogelijk is dat Google dit beveiligingsprobleem in de toekomst aanpakt, raden onderzoekers van Mysk "aan om de app voorlopig te gebruiken zonder de nieuwe synchronisatiefunctie."

“Hoewel het synchroniseren van 2FA-geheimen op verschillende apparaten handig is, gaat het ten koste van je privacy. Gelukkig biedt Google Authenticator nog steeds de mogelijkheid om de app te gebruiken zonder in te loggen of geheimen te synchroniseren”, aldus de woordvoerder Mysk-onderzoekers in een tweet.