Googlova funkcija sinhronizacije 2FA bi lahko ogrozila vašo zasebnost

Po 13-letnem čakanju je Google Authenticator dodal funkcijo sinhronizacije računa 2FA, ki svojim uporabnikom omogoča, da varnostno kopirajo zaporedja kode 2FA v oblak, nato pa jih lahko obnovijo nazaj v novo napravo.

Čeprav postopek, v katerem uporabnik naloži svoje 2FA skrivnosti je šifriran, raziskovalci pri Naked Security podjetja Sophos in razvijalci iOS pri Mysku so poročali, da so bili podatki uporabnika 2FA "nešifrirani znotraj Googlovih omrežnih paketov HTTPS." Poleg tega ni možnosti, pri kateri bi lahko uporabnik šifriral svoje nalaganje z geslom, preden zapusti njegovo napravo.

To je zaskrbljujoče zaradi dejstva, da ko je šifriranje za prenos podatkov odstranjeno po prejemu nalaganja, so podatki na voljo Googlu in skoraj vsem drugim, ki iščejo te informacije, vključno z vsemi z nalogom za preiskavo.

Čeprav je možno, da bo Google v prihodnosti obravnaval to varnostno težavo, raziskovalci v Mysku "zaenkrat priporočajo uporabo aplikacije brez nove funkcije sinhronizacije."

»Čeprav je sinhronizacija skrivnosti 2FA med napravami priročna, gre na račun vaše zasebnosti. Na srečo Google Authenticator še vedno ponuja možnost uporabe aplikacije brez prijave ali sinhronizacije skrivnosti,« je dejal Raziskovalci Myska v tvitu.