Google a „îmbunătățit” recent aplicația Authenticator cu suport pentru sincronizarea între dispozitive conturilor salvate pentru generarea codurilor de autentificare în doi pași. Doar că schimburile de informații cu serverele Google sunt realizate în formă necriptată, făcând posibilă interceptarea și duplicarea cheilor după care sunt generate codurile de unică folosință.
De mult timp solicitată de utilizatori, funcția care permite sincronizarea automată a înregistrărilor Google Authenticator pe alte dispozitive conectate la același cont Google ar trebui să evite situațiile în care pierderea telefonului lasă utilizatorii în imposibilitatea accesării contului email sau alte servicii configurate folosind opțiunea de autentificare în doi pași (2FA).
Semnalată de experții unei companii de securitate independentă, problema expune utilizatorii la furtul colecției de „secrete” Authenticator, anulând avantajele aplicației menită să dubleze siguranța precară a parolelor clasice:
„Am testat funcția de îndată ce Google a lansat-o. Ne-am dat seama că aplicația nu a solicitat și nu a oferit opțiunea unui cod de acces pentru a proteja secretele”, a scris compania pe Twitter.
„Am analizat traficul de rețea atunci când aplicația sincronizează secretele 2FA și s-a dovedit că traficul nu este criptat integral”, a adăugat compania . „ După cum se arată în capturile de ecran, aceasta înseamnă că Google poate vedea secretele, probabil chiar și atunci când sunt stocate pe serverele lor.”
În comunitatea de securitate, „secret” este denumirea atribuită codurile ce servesc drept cheie pentru generarea codurilor 2FA cu valabilitate limitată în timp, folosite pentru a debloca un cont sau un dispozitiv.
Până la publicarea unei versiuni actualizate, vulnerabilitatea descoperită în aplicația Authenticator poate fi evitată debifând opțiunea de sincronizare Google, dacă aceasta apare în meniul Settings.