Tính năng đồng bộ hóa 2FA của Google có thể gây rủi ro cho quyền riêng tư của bạn

Sau 13 năm chờ đợi, Google Authenticator đã thêm tính năng đồng bộ hóa tài khoản 2FA cho phép người dùng sao lưu chuỗi mã 2FA của họ vào đám mây, sau đó họ có thể khôi phục chúng trở lại thiết bị mới.

Mặc dù quá trình người dùng tải lên bí mật 2FA được mã hóa, các nhà nghiên cứu tại Naked Security của Sophos và các nhà phát triển iOS tại Mysk đã báo cáo rằng chi tiết 2FA của người dùng “không được mã hóa bên trong các gói mạng HTTPS của Google”. Hơn nữa, không có tùy chọn nào trong đó người dùng có thể mã hóa nội dung tải lên của họ bằng cụm mật khẩu trước khi nội dung đó rời khỏi thiết bị của họ.

Điều này đáng lo ngại do thực tế là sau khi mã hóa để truyền dữ liệu bị xóa sau khi quá trình tải lên đến, dữ liệu sẽ có sẵn cho Google và hầu như bất kỳ ai khác đang tìm kiếm thông tin này, kể cả bất kỳ ai có lệnh khám xét.

Mặc dù có thể Google sẽ giải quyết vấn đề bảo mật này trong tương lai, nhưng các nhà nghiên cứu tại Mysk “khuyến nghị sử dụng ứng dụng mà không có tính năng đồng bộ hóa mới ngay bây giờ”.

“Mặc dù việc đồng bộ hóa các bí mật 2FA trên các thiết bị rất tiện lợi, nhưng nó sẽ ảnh hưởng đến quyền riêng tư của bạn. May mắn thay, Google Authenticator vẫn cung cấp tùy chọn sử dụng ứng dụng mà không cần đăng nhập hoặc đồng bộ hóa bí mật,” cho biết Các nhà nghiên cứu Mysk trong một tweet.