Ранее на этой неделе компания Google сообщила, что в приложении Google Authenticator наконец появится функция резервного копирования в облако и синхронизации между несколькими устройствами. Однако ИБ-эксперты заметили, что при загрузке на серверы Google данные не подвергались сквозному шифрованию.

Как известно, одним из самых серьезных недостатков Google Authenticator всегда было отсутствие резервного копирования одноразовых кодов двухфакторной аутентификации (2ФА), а также отсутствие поддержки сразу нескольких устройств.

В итоге получалось, что потеряв устройство или утратив к нему доступ, пользователь лишался доступа ко всем учетными записям, защищенным этим методом 2ФА, а восстановление доступа становилось очень трудным или невозможным. Также без облачной резервной копии было невозможно добавить коды 2ФА на несколько устройств.

Теперь эти недостатки наконец были устранены, однако вскоре после того, как компания объявила о внедрении облачной синхронизации в Google Authenticator, ИБ-исследователи из компании Mysk обнаружили, что данные не подвергались сквозному шифрованию при загрузке на серверы Google.

«Мы проанализировали сетевой трафик во время синхронизации секретов приложением, и оказалось, что трафик не имеет сквозного шифрования. Как видно на скриншотах, это означает, что Google может видеть секреты пользователей, скорее всего, даже когда они хранятся на серверах. Также нет возможности добавления кодовой фразы для защиты секретов, чтобы сделать их доступными только для пользователя», — сообщили специалисты в Twitter.

Поскольку Google Authenticator не предлагает end-to-end шифрования, данные хранятся на серверах Google в формате, к которому получить доступ неавторизованные лица (будь то взлом Google или действия недобросовестного сотрудника).

«Каждый QR-код 2ФА содержит секрет или seed, которые используются для генерации одноразовых кодов. Если кто-то еще знает этот секрет, он может сгенерировать такие же одноразовые коды и обойти защиту 2ФА. Таким образом, если когда-либо произойдет утечка данных, или кто-то получит доступ к вашей учетной записи Google, все ваши секреты 2ФА будут скомпрометированы», — резюмировали эксперты.

Разработчики Google отреагировали на это заявление ИБ-экспертов довольно быстро, сообщив, что обязательно добавят сквозное шифрование в следующие версии Google Authenticator. Представитель компании объяснил изданию Bleeping Computer, что разработчики опасаются, что из-за сквозного шифрования пользователи могут полностью заблокировать собственные данные, поэтому внедрять такие функции в компании стараются крайне осторожно.

«Мы шифруем данные в наших продуктах при передаче и хранении, в том числе в Google Authenticator. Сквозное шифрование — это мощная функция, обеспечивающая дополнительную защиту, но из-за нее пользователи могут лишиться доступа к собственным данным без возможности восстановления. Чтобы обеспечить полный набор возможностей для наших пользователей, мы начали внедрять опциональное сквозное шифрование в некоторые продукты и планируем в будущем предложить E2EE и для Google Authenticator», — сообщил представитель Goоgle.

Источник: xakep