Коды Google Authenticator, синхронизированные с облаком, не зашифрованы

Недавнее обновление Authenticator от Google обеспечило опциональное резервное копирование и синхронизацию паролей двухэтапной аутентификации на устройствах с аккаунтом Google.

До этого одноразовые коды аутентификации генерировались исключительно на устройстве, и его потеря могла привести к невозможности доступа к аккаунтам, которые связаны с Google Authenticator. Новая функция должна была бы решить эту проблему, но она принесла другую.

Эксперты по кибербезопасности из Mysk обнаружили, что когда приложение синхронизирует эти коды с «облаком», трафик не шифруется «из конца в конец». В незашифрованном трафике специалисты обнаружили seed-информацию, доступ злоумышленников к которой позволит им генерировать собственные одноразовые коды.

Так как QR-коды, используемые для настройки двухэтапной аутентификации, содержат название аккаунта или сервиса, злоумышленники могут идентифицировать аккаунты, поэтому риск взлома аккаунтов, связанных с Google Authenticator, достаточно высокий.

Если бы были взломаны серверы Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, произошла бы масштабная утечка.

Проблема заключается в том, что для защиты этих одноразовых паролей нет возможности добавить парольную фразу, чтобы сделать их доступными только для пользователя. Поэтому Mysk советует не включать новую функцию.

В Google в ответ на исследование сообщили, что сквозное шифрование в будущем появится:

Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем.