18 июля 2025

eur = 90.97 0.41 (0.45 %)

btc = 119 974.00$ 1 711.07 (1.45 %)

eth = 3 586.22$ 250.95 (7.52 %)

ton = 3.28$ 0.14 (4.45 %)

usd = 78.19 0.23 (0.29 %)

eur = 90.97 0.41 (0.45 %)

btc = 119 974.00$ 1 711.07 (1.45 %)

Коды Google Authenticator, синхронизированные с облаком, не зашифрованы

1 минута на чтение
Коды Google Authenticator, синхронизированные с облаком, не зашифрованы

Недавнее обновление Authenticator от Google обеспечило опциональное резервное копирование и синхронизацию паролей двухэтапной аутентификации на устройствах с аккаунтом Google.

До этого одноразовые коды аутентификации генерировались исключительно на устройстве, и его потеря могла привести к невозможности доступа к аккаунтам, которые связаны с Google Authenticator. Новая функция должна была бы решить эту проблему, но она принесла другую.

Google Authenticator добавил облачную синхронизацию кодов
Приложение Google Authenticator, предназначенное для двухэтапной аутентификации, теперь поддерживает облачную синхронизацию через аккаунт Google.

Эксперты по кибербезопасности из Mysk обнаружили, что когда приложение синхронизирует эти коды с «облаком», трафик не шифруется «из конца в конец». В незашифрованном трафике специалисты обнаружили seed-информацию, доступ злоумышленников к которой позволит им генерировать собственные одноразовые коды.

Так как QR-коды, используемые для настройки двухэтапной аутентификации, содержат название аккаунта или сервиса, злоумышленники могут идентифицировать аккаунты, поэтому риск взлома аккаунтов, связанных с Google Authenticator, достаточно высокий.

Если бы были взломаны серверы Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, произошла бы масштабная утечка.

Проблема заключается в том, что для защиты этих одноразовых паролей нет возможности добавить парольную фразу, чтобы сделать их доступными только для пользователя. Поэтому Mysk советует не включать новую функцию.

В Google в ответ на исследование сообщили, что сквозное шифрование в будущем появится:

Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Valve подтвердила информацию об удалении порно-игр из Steam

GigaChat Max: коротко о главном

Valve подтвердила информацию об удалении порно-игр из Steam

Полная версия 
OpenAI запустила ИИ-агента

GigaChat Max: коротко о главном

OpenAI запустила ИИ-агента

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 379
OTP Bank
Газпромбанк
Сбер
Т-Банк
X5 Tech
билайн
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы