Ο νέος έλεγχος ταυτότητας δύο παραγόντων της Google δεν είναι κρυπτογραφημένος από άκρη σε άκρη, όπως δείχνουν οι δοκιμές

Ένα νέο εργαλείο ελέγχου ταυτότητας δύο παραγόντων (2FA) από την Google δεν είναι κρυπτογραφημένο από άκρο σε άκρο, γεγονός που θα μπορούσε να εκθέσει τους χρήστες σε σημαντικούς κινδύνους ασφαλείας, όπως διαπιστώθηκε σε δοκιμή από ερευνητές ασφαλείας. Η εφαρμογή Authenticator της Google παρέχει μοναδικούς κωδικούς τους οποίους μπορεί να ζητούν οι συνδέσεις σε ιστότοπους ως ένα δεύτερο επίπεδο ασφάλειας πάνω από τους κωδικούς πρόσβασης. Τη Δευτέρα, η Google ανακοίνωσε ένα πολυαναμενόμενο χαρακτηριστικό, το οποίο σας επιτρέπει να συγχρονίσετε το Authenticator με έναν λογαριασμό Google και να το χρησιμοποιείτε σε πολλές συσκευές. Αυτά είναι σπουδαία νέα, επειδή στο παρελθόν, θα μπορούσατε να καταλήξετε να κλειδώσετε τον λογαριασμό σας αν χάνατε το τηλέφωνο με εγκατεστημένη την εφαρμογή ελέγχου ταυτότητας.

Όταν όμως οι προγραμματιστές της εφαρμογής και οι ερευνητές ασφαλείας της εταιρείας λογισμικού Mysk έλεγξαν την εφαρμογή, διαπίστωσαν ότι τα υποκείμενα δεδομένα δεν είναι κρυπτογραφημένα από άκρο σε άκρο. "Δοκιμάσαμε τη λειτουργία αμέσως μόλις η Google την κυκλοφόρησε. Συνειδητοποιήσαμε ότι η εφαρμογή δεν ζητούσε ή δεν προσέφερε επιλογή για τη χρήση μιας φράσης πρόσβασης (passphrase) για την προστασία των μυστικών", έγραψε η εταιρεία στο Twitter. "Αναλύσαμε την κυκλοφορία του δικτύου όταν η εφαρμογή συγχρονίζει τα "μυστικά" και αποδεικνύεται ότι η κυκλοφορία δεν είναι κρυπτογραφημένη από άκρο σε άκρο", πρόσθεσε η εταιρεία. "Όπως φαίνεται στα στιγμιότυπα οθόνης, αυτό σημαίνει ότι η Google μπορεί να δει τα μυστικά, πιθανότατα ακόμη και ενώ είναι αποθηκευμένα στους διακομιστές της". Στην κοινότητα της ασφάλειας, "μυστικά" είναι ο όρος για τα διαπιστευτήρια που λειτουργούν ως κλειδί για το ξεκλείδωμα ενός λογαριασμού ή ενός εργαλείου.

Μπορείτε να χρησιμοποιήσετε το Google Authenticator χωρίς να το συνδέσετε με το λογαριασμό σας στο Google ή να το συγχρονίσετε σε όλες τις συσκευές, γεγονός που αποφεύγει την έκθεσή σας σε αυτό το ζήτημα. Δυστυχώς, αυτό σημαίνει ότι ίσως είναι καλύτερο να αποφύγετε μια χρήσιμη λειτουργία για την οποία οι χρήστες ζητούσαν εδώ και χρόνια. "Το συμπέρασμα: αν και ο συγχρονισμός των μυστικών 2FA σε όλες τις συσκευές είναι βολικός, γίνεται εις βάρος της ιδιωτικής σας ζωής", δήλωσε η εταιρεία. "Συνιστούμε να χρησιμοποιείτε την εφαρμογή χωρίς τη νέα λειτουργία συγχρονισμού προς το παρόν". Η Google δεν απάντησε αμέσως σε αίτημα για σχολιασμό.

Οι δοκιμές διαπίστωσαν ότι η μη κρυπτογραφημένη κίνηση περιέχει έναν "σπόρο" (seed) ο οποίος χρησιμοποιείται για την αρχικοποίηση μιας γεννήτριας ψευδοτυχαίων αριθμών για τη δημιουργία των κωδικών ελέγχου ταυτότητας δύο παραγόντων. Σύμφωνα με τον Tommy Mysk, έναν από τους ερευνητές που αποκάλυψαν το πρόβλημα, οποιοσδήποτε με πρόσβαση σε αυτόν τον "σπόρο" μπορεί να δημιουργήσει τους δικούς του κωδικούς για τους λογαριασμούς σας και να εισέλθει. "Εάν οι διακομιστές της Google παραβιάζονταν, τα μυστικά θα διαρρέονταν", δήλωσε εκπρόσωπος της εταιρίας Mysk στο Gimodo. Προσθέτοντας προσβολή στο τραύμα, οι κωδικοί QR που εμπλέκονται με τη ρύθμιση του ελέγχου ταυτότητας δύο παραγόντων περιέχουν επίσης το όνομα του λογαριασμού ή της υπηρεσίας (Amazon ή Twitter, για παράδειγμα). "Ο επιτιθέμενος μπορεί επίσης να γνωρίζει ποιους λογαριασμούς έχετε. Αυτό είναι ιδιαίτερα επικίνδυνο αν είστε ακτιβιστής και διαχειρίζεστε άλλους λογαριασμούς Twitter ανώνυμα".

Αλλά δεν είναι μόνο οι εγκληματίες του κυβερνοχώρου για τους οποίους πρέπει να ανησυχείτε. "Η Google ή το προσωπικό της Google μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα", δήλωσε η εταιρία Mysk.

Η έλλειψη κρυπτογράφησης σημαίνει ότι η Google θα μπορούσε θεωρητικά να εξετάσει τα δεδομένα και να μάθει ποιες εφαρμογές και υπηρεσίες χρησιμοποιείτε, κάτι που μπορεί να είναι πολύτιμο για διάφορους σκοπούς, συμπεριλαμβανομένων των στοχευμένων διαφημίσεων. Σύμφωνα με την Mysk, "το να επιτρέπεται σε έναν τεχνολογικό γίγαντα που διψάει για δεδομένα όπως η Google να δημιουργήσει ένα γράφημα όλων των λογαριασμών και των υπηρεσιών που έχει κάθε χρήστης δεν είναι καλό πράγμα".

Το θέμα αποτελεί έκπληξη, δεδομένης της ιστορίας της Google με παρόμοια εργαλεία. Η Google διαθέτει μια αμυδρά παρόμοια λειτουργία που σας επιτρέπει να συγχρονίζετε δεδομένα από το Google Chrome σε όλες τις συσκευές. Εκεί, η εταιρεία δίνει στους χρήστες τη δυνατότητα να ορίσουν έναν κωδικό πρόσβασης για την προστασία αυτών των δεδομένων, κρατώντας τα μακριά από τα αδιάκριτα μάτια της Google και προστατεύοντάς τα από οποιονδήποτε άλλον μπορεί να τα υποκλέψει. Σύμφωνα με την Mysk, "τα μυστικά 2FA θεωρούνται ευαίσθητα δεδομένα, όπως ακριβώς και οι κωδικοί πρόσβασης. Η Google υποστηρίζει ήδη φράσεις πρόσβασης για τον συγχρονισμό δεδομένων του Chrome. Έτσι, περιμέναμε ότι τα μυστικά 2FA θα αντιμετωπίζονταν με τον ίδιο τρόπο". Μέχρι στιγμής, η Google δεν έχει ανακοινώσει σχέδια για την προσθήκη προστασίας με κωδικό πρόσβασης στη λειτουργία συγχρονισμού Authenticator.