Testy odhalily nedostatečnou šifrovací ochranu nového 2FA ověřování od Googlu
"Funkci jsme otestovali hned, jak ji Google uvolnil. Uvědomili jsme si přitom, že aplikace nevyzývá ani nenabízí možnost použít k ochraně soukromých údajů přístupovou frázi," řekl Tommy Mysk, jeden z výzkumníků, kteří problém odhalili, v rozhovoru pro Gizmodo.
Google Authenticator tedy můžete používat, aniž byste se vázáli na konkrétní účet nebo synchronizovali jednotlivá zařízení, čímž se tomuto problému vyhnete. "Synchronizace tajemství 2FA napříč zařízeními je sice pohodlná, ale na úkor vašeho soukromí. Prozatím doporučujeme používat aplikaci bez nové funkce synchronizace," doplňuje Mysk.
Testy provedené společností Mysk odhalily, že nezašifrovaný internetový provoz obsahuje klíčovou informaci, která se používá k vytváření dvoufaktorových ověřovacích kódů. Podle odborníků by to mohlo mít závažné následky, zejména pokud jsou účty, které chráníte dvoufaktorovým ověřováním, pro vás klíčové. Mysk varuje, že kdyby se servery společnosti Google dostaly do rukou útočníků, mohlo by dojít k úniku tohoto tajemství. To by umožnilo zlodějům identifikovat názvy uživatelských účtů a služeb, což by mohlo být zejména pro aktivisty, kteří chtějí zůstat anonymní, velkým bezpečnostním rizikem.
Z toho plyne, že ochrana vašich online účtů je nyní důležitější než kdy dříve a že byste měli zvážit další bezpečnostní opatření, aby se zabránilo možnému úniku vašich osobních údajů.
Společnost Google však přislíbila, že šifrování end-to-end zavede co nejdříve.(Zdroj: Shutterstock)
"End-to-End Encryption (E2EE) je výkonná funkce, která poskytuje dodatečnou ochranu, ale uživatelé si musí uvědomit, že pokud zapomenou své heslo, nebudou schopni získat přístup ke svým datům," řekl Christiaan Brand, produktový manažer skupiny ve společnosti Google. "Abychom zajistili, že uživatelům nabízíme kompletní sadu možností, začali jsme v některých našich produktech zavádět volitelné šifrování E2EE a v budoucnu plánujeme nabídnout šifrování E2EE pro Google Authenticator."
Brand také uveřejnil na Twitteru vlákno s dalšími podrobnostmi. I když je tento krok společnosti Google krokem správným směrem, měli by uživatelé pečlivě zvážit, zda chtějí uložit své osobní údaje do cloudu, nebo zda preferují uchování dat na svém vlastním zařízení.
Nedostatečné šifrování používané společností Google znamená, že by teoreticky mohla získat přístup k datům uživatelů a zjistit, které aplikace a služby zrovna používají. Tato informace by mohla být cenná pro mnoho účelů, včetně cílené reklamy. Podobné problémy v minulosti již Google řešil nespočetněkrát, proto je zvláštní, že se ten současný začne řešit až nyní. Očekávalo se, že bude zacházet s tajemstvími 2FA stejně pečlivě, jako se synchronizací hesel v prohlížeči Chrome.
Diskuse ke článku Testy odhalily nedostatečnou šifrovací ochranu nového 2FA ověřování od Googlu