Ale wtopa Google'a. Aplikacja do zabezpieczeń okazała się niebezpieczna
Google Authenticator, jedna z najpopularniejszych aplikacji uwierzytelniających 2FA wreszcie dogoniła konkurencję i zyskała synchronizację danych w chmurze. Jednak od razu po dobiegnięciu na metę przewróciła się na plecy, bo... połączenie aplikacji z serwerami Google nie jest zabezpieczone. I potwierdził to sam gigant.
Zaledwie dwa dni temu informowaliśmy o dużej zmianie w Google Authenticator, a konkretnie o synchronizowaniu kodów uwierzytelnienia dwuskładnikowego w chmurze. Funkcja była długo wyczekiwana przez użytkowników, gdyż dotychczas aplikacja Google była niemałym kłopotem dla osób, które straciły dostęp do telefonu lub przywróciły go do ustawień fabrycznych przed przeniesieniem danych.
Jednak historia na tym się nie kończy, a zmiana nie jest tak piękna jak Google ją maluje. Udowodnił to duet kanadyjsko-niemieckich badaczy Mysk, zajmujących się cyberbezpieczeństwem wykazując, że podczas przekazywania danych pomiędzy telefonem a chmurą Google, połączenie nie jest szyfrowane. Mówiąc prościej, kody zabezpieczające są podatne na przechwycenie przez osoby trzecie.
Google Authenticator z nową funkcją. Przyjemniejszy w użyciu, za to mniej bezpieczny
W środę 26 kwietnia Mysk opublikowało na Twitterze wpis informujący o braku szyfrowania połączenia aplikacji z serwerami Google. Jak twierdzi duet ekspertów, ze względu na brak szyfrowania metodą end-to-end (E2EE, ta sama metoda wykorzystywana w np. WhatsApp czy Signalu), poufne kody służące do logowania do wielu usług i aplikacji mogą zarówno zostać przechwycone w wyniku ataku na użytkownika, jak i odczytywane przez Google.
Jak podaje Mysk, każdy kod QR generowany przez aplikację zawiera specjalne "nasiono" (ang. seed), które pozwala aplikacji wygenerowanie z niego jednorazowego kodu dostępu. Znając wartość nasiona ukrytą w kodzie QR, każda osoba może wygenerować własny kod QR i użyć go zalogowania się na konto ofiary i zyskania dostępu do kodów 2FA. Według badaczy w przypadku wycieku danych z serwerów Google, potencjalni hakerzy zyskaliby nielimitowany dostęp do możliwości generowania kodów QR i przejmowania haseł.
Ponadto Mysk wytyka Google, że sposób, w jaki przechowuje dane może pozwolić koncernowi na wykorzystanie informacji do wyświetlania spersonalizowanych reklam na podstawie usług powiązanych z Authenticatorem.
Chociaż synchronizacja 2FA na różnych urządzeniach jest wygodna, odbywa się kosztem prywatności. Na szczęście Google Authenticator nadal oferuje opcję korzystania z aplikacji bez logowania i synchronizacji sekretów. Na razie zalecamy korzystanie z aplikacji bez nowej funkcji synchronizacji.
- podsumowuje Mysk
Na oskarżenia szybko odpowiedział jeden z pracowników działu bezpieczeństwa Google, Christiaan Brand. Jak przyznał, Google Authenticator rzeczywiście nie posiada szyfrowania danych metodą E2EE i koncern zamierza je dopiero wprowadzić do aplikacji.
[...] Aby upewnić się, że oferujemy użytkownikom pełen zestaw opcji, zaczęliśmy wprowadzać opcjonalne szyfrowanie E2E w niektórych naszych produktach i planujemy zaoferować E2EE dla Google Authenticator. [...]
- odpowiedział Brand