Функція синхронізації Google 2FA може поставити вашу конфіденційність під загрозу

Після 13-річного очікування Google Authenticator додав функцію синхронізації облікових записів 2FA, яка дозволяє користувачам створювати резервні копії своїх кодових послідовностей 2FA у хмарі, після чого вони можуть відновлювати їх на новому пристрої.

Хоча процес, у якому користувач завантажує свої Секрети 2FA зашифровано, дослідники Naked Security від Sophos і розробники iOS із Mysk повідомили, що деталі 2FA користувача були «незашифровані в мережевих пакетах Google HTTPS». Крім того, немає параметра, за якого користувач міг би зашифрувати своє завантаження за допомогою парольної фрази, перш ніж воно залишить свій пристрій.

Це викликає занепокоєння через той факт, що після того, як шифрування для транспортування даних буде видалено після надходження завантаження, дані будуть доступні Google і практично будь-кому іншому, хто шукає цю інформацію, включаючи будь-кого, хто має ордер на обшук.

Хоча можливо, що Google може вирішити цю проблему безпеки в майбутньому, дослідники з Mysk «рекомендують поки що використовувати додаток без нової функції синхронізації».

«Хоча синхронізація секретів 2FA між пристроями зручна, це відбувається за рахунок вашої конфіденційності. На щастя, Google Authenticator все ще пропонує можливість використовувати програму без входу в обліковий запис або синхронізації секретів», – сказав він. Дослідники Mysk у твіттері.