Функция синхронизации Google 2FA может поставить под угрозу вашу конфиденциальность

После 13-летнего ожидания Google Authenticator добавил функцию синхронизации учетной записи 2FA, которая позволяет пользователям создавать резервные копии своих кодовых последовательностей 2FA в облаке, после чего они могут восстановить их обратно на новое устройство.

Хотя процесс, в котором пользователь загружает свои секреты двухфакторной аутентификации зашифрован, исследователи Naked Security by Sophos и разработчики iOS из Mysk сообщили, что данные 2FA пользователя были «не зашифрованы внутри сетевых пакетов Google HTTPS». Кроме того, нет варианта, при котором пользователь может зашифровать свою загрузку с помощью кодовой фразы до того, как она покинет свое устройство.

Это вызывает озабоченность в связи с тем, что после того, как шифрование для передачи данных будет удалено после загрузки, данные станут доступны для Google и практически для всех, кто ищет эту информацию, включая всех, у кого есть ордер на обыск.

Хотя вполне возможно, что Google может решить эту проблему безопасности в будущем, исследователи из Mysk «рекомендуют пока использовать приложение без новой функции синхронизации».

«Хотя синхронизация секретов 2FA между устройствами удобна, это происходит за счет вашей конфиденциальности. К счастью, Google Authenticator по-прежнему предлагает возможность использовать приложение без входа в систему или синхронизации секретов», — сказал он. Исследователи Мыска в твиттере.