Google Authenticator kan nu synkronisere mellem enheder, men gør det uden kryptering advarer sikkerhedsforskere
Google Authenticator, der bruges til at generere koder til to-faktor (2FA) validering, har fået en ny funktion, som på papiret lyder smart. Det skriver Gizmodo
Den ny funktion er at Authenticator-apps kan synkronosere på tværs af enheder, så man har adgang til at lave koderne flere steder.
Men nu advarer tyske sikkerhedsforskere om at bruge den ny synkronisering. De har testet det, og fundet at der mangler end-to-end kryptering.
“Vi testede funktionen, så snart Google frigav den. Det gik op for os, at appen ikke opfordrede til eller tilbød en mulighed for at bruge en passphrase til at beskytte hemmelighederne”, skriver virksomheden Mysk på Twitter.
“Vi analyserede netværkstrafikken, når appen synkroniserer hemmelighederne, og det viser sig, at trafikken ikke er end-to-end-krypteret”, skriver de videre og fortsætter:
“Som det fremgår af skærmbillederne betyder det, at Google kan se hemmelighederne, sandsynligvis endda mens de er gemt på deres servere”.
I sikkerhedsfællesskabet er “hemmeligheder” betegnelsen for legitimationsoplysninger, der fungerer som en nøgle til at låse en konto eller et værktøj op.
Det er fortsat muligt at bruge Google Authenticator lokalt på en enhed, uden at binde den til en Google-konto og uden at den synkroniserer mellem enheder.
“Det vigtigste er, at selv om det er praktisk at synkronisere 2FA-hemmeligheder på tværs af enheder, sker det på bekostning af dit privatliv”, advarer virksomheden, og slutter:
“Vi anbefaler, at du bruger appen uden den nye synkroniseringsfunktion indtil videre.”
Gizmodo har anmodet Google om en kommentar, men de har ikke reageret før artiklens publisering.