PSA: کدهای 2FA همگامسازی ابری Google Authenticator رمزگذاریشده سرتاسر نیستند
در اوایل این هفته، گوگل برنامه Authenticator خود را بهروزرسانی کرد تا پشتیبانگیری و همگامسازی کدهای 2FA را در دستگاههای با استفاده از حساب Google فعال کند. اکنون یک بررسی توسط محققان امنیتی Mysk نشان داده است که رمزهای عبور حساس یک بار مصرفی که با ابر همگامسازی میشوند، رمزگذاری نشدهاند و به طور بالقوه در معرض عوامل بد قرار میگیرند.
قبل از ادغام پشتیبانی از حساب Google، همه کدهای موجود در برنامه Google Authenticator در دستگاه ذخیره می شدند، به این معنی که اگر دستگاه گم می شد، گذرواژه های یکبار مصرف نیز همینطور هستند و به طور بالقوه باعث از دست دادن دسترسی به حساب می شوند. اما به نظر میرسد که گوگل با فعال کردن همگامسازی مبتنی بر ابر، کاربران را در معرض خطر امنیتی متفاوتی قرار داده است.
Mysk از طریق گفت: «ما ترافیک شبکه را زمانی که برنامه اسرار را همگامسازی میکند، تجزیه و تحلیل کردیم، و معلوم شد که ترافیک رمزگذاری انتها به انتها نیست. توییتر. “این بدان معنی است که Google می تواند اسرار را ببیند، احتمالاً حتی زمانی که آنها در سرورهای خود ذخیره می شوند. هیچ گزینه ای برای افزودن عبارت عبور برای محافظت از اسرار وجود ندارد تا فقط برای کاربر قابل دسترسی باشد.”
“اسرار” اصطلاحی است که برای اشاره به اطلاعات خصوصی که به عنوان کلیدهایی برای باز کردن قفل منابع محافظت شده یا اطلاعات حساس عمل می کنند، استفاده می شود. در این مورد، رمزهای عبور یک بار مصرف.
Mysk گفت که آزمایشهایش نشان میدهد که ترافیک رمزگذاری نشده حاوی یک “seed” است که برای تولید کدهای 2FA استفاده میشود. به گفته محققان، هر کسی که به آن دانه دسترسی داشته باشد می تواند کدهای خود را برای همان حساب ها ایجاد کند و به آنها نفوذ کند.
مایسک گفت: «اگر سرورهای گوگل به خطر بیفتد، اسرار لو میرفت Gizmodo. از آنجایی که کدهای QR مربوط به تنظیم احراز هویت دو مرحلهای حاوی نام حساب یا سرویس هستند، مهاجم همچنین میتواند حسابها را شناسایی کند. محققان افزودند: «اگر شما یک فعال باشید و سایر حسابهای توییتر را بهطور ناشناس اداره کنید، این امر به ویژه خطرناک است.
Mysk متعاقباً به کاربران توصیه کرد که ویژگی حساب Google را که کدهای 2FA را بین دستگاهها و ابر همگامسازی میکند، فعال نکنند.
گوگل به تازگی برنامه 2FA Authenticator خود را به روز کرده و یک ویژگی بسیار مورد نیاز را اضافه کرده است: توانایی همگام سازی اسرار بین دستگاه ها. TL;DR: آن را روشن نکنید. بهروزرسانی جدید به کاربران امکان میدهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاههای iOS و Android خود همگامسازی کنند.… pic.twitter.com/a8hhelupZR
– مشک ???? (@mysk_co) 26 آوریل 2023
سخنگوی گوگل در پاسخ به این هشدار گفت CNET برای راحتی کار، ویژگی همگامسازی را زودتر اضافه کرده بود، اما رمزگذاری سرتاسر هنوز در راه است:
رمزگذاری End-to-End (E2EE) یک ویژگی قدرتمند است که محافظت های بیشتری را ارائه می دهد، اما به قیمت این امکان را می دهد که کاربران بدون بازیابی اطلاعات خود را قفل کنند. برای اطمینان از اینکه مجموعه کاملی از گزینهها را برای کاربران ارائه میکنیم، همچنین شروع به عرضه E2EE اختیاری در برخی از محصولات خود کردهایم، و قصد داریم در آینده E2EE را برای Google Authenticator ارائه دهیم.”
تا زمانی که این اتفاق نیفتد، سرویسهای جایگزینی برای همگامسازی کدهای احراز هویت در بین دستگاهها وجود دارد، مانند تولیدکننده کد 2FA خود اپل و برنامههای شخص ثالث مانند Authy.
