Funcția de sincronizare Google 2FA v-ar putea pune în pericol confidențialitatea

După o așteptare de 13 ani, Google Authenticator a adăugat o funcție de sincronizare a contului 2FA care le permite utilizatorilor săi să facă copii de rezervă secvențelor de coduri 2FA în cloud, după care le pot restaura înapoi pe un dispozitiv nou.

Deși procesul în care un utilizator își încarcă Secretele 2FA este criptat, cercetători de la Naked Security de la Sophos și dezvoltatorii iOS de la Mysk au raportat că detaliile 2FA ale unui utilizator au fost „necriptate în pachetele de rețea HTTPS ale Google”. În plus, nu există nicio opțiune prin care un utilizator să își poată cripta încărcarea folosind o expresie de acces înainte de a părăsi dispozitivul.

Acest lucru este îngrijorător din cauza faptului că, odată ce criptarea pentru transportul datelor este eliminată după ce a sosit încărcarea, datele sunt disponibile pentru Google și practic oricui altcineva care caută aceste informații, inclusiv oricui are un mandat de percheziție.

Deși este posibil ca Google să abordeze această problemă de securitate în viitor, cercetătorii de la Mysk „recomandă folosirea aplicației fără noua funcție de sincronizare pentru moment”.

„Deși sincronizarea secretelor 2FA pe dispozitive este convenabilă, se face în detrimentul confidențialității tale. Din fericire, Google Authenticator oferă în continuare opțiunea de a utiliza aplicația fără a vă conecta sau a sincroniza secrete”, a spus Cercetătorii Mysk într-un tweet.