Začátkem tohoto týdne Google vydal aktualizaci aplikace Google Authenticator, která umožňuje zálohování a synchronizaci kódů 2FA napříč zařízeními pomocí účtu Google. Nyní průzkum bezpečnostních výzkumníků Mysk zjistil zajímavou skutečnost.
Mysk zjistil, že citlivé jednorázové přístupové kódy synchronizované do cloudu nejsou end-to-end šifrovány, takže jsou potenciálně vystaveny hackerům. Před aktualizací byly všechny kódy v aplikaci Google Authenticator uloženy v zařízení, což znamenalo, že pokud bylo zařízení ztraceno, došlo také ke ztrátě jednorázových přístupových kódů, což také mohlo způsobit ztrátu přístupu k účtu. Zdá se však, že povolením cloudové synchronizace Google vystavil uživatele bezpečnostnímu riziku jiného druhu. „Analyzovali jsme síťový provoz, když aplikace synchronizuje kódy, a ukázalo se, že provoz není šifrován end-to-end,“ uvedl Mysk na Twitteru.
„To znamená, že Google může vidět kódy, pravděpodobně i když jsou uložena na jejich serverech. Neexistuje žádná možnost přidat přístupový kód, aby kódy byly přístupné pouze uživateli. Pokud by servery Google napadl hacker, kódy by unikly,“ řekl Mysk Gizmodo. V reakci na varování mluvčí Google řekl CNET, že kvůli pohodlí přidal funkci synchronizace brzy, ale že na šifrování end-to-end se pracuje.
