Google 2FA-synkroniseringsfunksjonen kan sette personvernet ditt i fare

Etter en 13 år lang ventetid har Google Authenticator lagt til en 2FA-kontosynkroniseringsfunksjon som lar brukerne sikkerhetskopiere 2FA-kodesekvensene sine til skyen, hvoretter de kan gjenopprette dem tilbake til en ny enhet.

Selv om prosessen der en bruker laster opp sine 2FA hemmeligheter er kryptert, forskere ved Naked Security by Sophos og iOS-utviklere hos Mysk rapporterte at en brukers 2FA-detaljer var "ukryptert inne i Googles HTTPS-nettverkspakker." Videre er det ikke noe alternativ der en bruker kan kryptere opplastingen ved hjelp av en passordfrase før den forlater enheten.

Dette er bekymringsfullt på grunn av det faktum at når krypteringen for transport av dataene er fjernet etter at opplastingen har ankommet, er dataene tilgjengelige for Google og praktisk talt alle andre som leter etter denne informasjonen, inkludert alle med en ransakingsordre.

Selv om det er mulig at Google kan løse dette sikkerhetsproblemet i fremtiden, anbefaler forskere ved Mysk å bruke appen uten den nye synkroniseringsfunksjonen for nå.

"Selv om det er praktisk å synkronisere 2FA-hemmeligheter på tvers av enheter, går det på bekostning av personvernet ditt. Heldigvis tilbyr Google Authenticator fortsatt muligheten til å bruke appen uten å logge på eller synkronisere hemmeligheter," sa Mysk-forskere i en tweet.