O Google está implementando criptografia de ponta a ponta para backups na nuvem do Google Authenticator, após pesquisadores alertarem os usuários para não sincronizar códigos 2FA com suas contas do Google.
Nesta semana, o Google Authenticator finalmente recebeu a tão esperada função de fazer backup de tokens 2FA na nuvem.
Essa nova função permite aos usuários sincronizar seus tokens 2FA do Google Authenticator com sua conta do Google, fornecendo um backup caso seu dispositivo móvel seja perdido ou danificado.
Também permite que os usuários acessem seus tokens 2FA em vários dispositivos, desde que todos estejam conectados na mesma conta do Google.
No entanto, logo após a sincronização na nuvem do Google Authenticator ser anunciada, pesquisadores de segurança da Mysk descobriram que os dados não estavam sendo criptografados de ponta a ponta enquanto eram enviados para os servidores do Google.
"Analisamos o tráfego de rede quando o aplicativo sincroniza os segredos, e descobrimos que o tráfego não é criptografado de ponta a ponta", diz um tweet da Mysk.
Como o Google Authenticator não oferece criptografia de ponta a ponta, os dados são armazenados no servidor do Google em um formato que usuários não autorizados podem acessar, seja através de uma violação do Google ou de um funcionário antiético.
Authy, outro aplicativo autenticador popular, cresceu em popularidade ao longo dos anos, pois oferece backups na nuvem de tokens 2FA que são criptografados de ponta a ponta.
Ao usar esse recurso no Authy, os usuários devem inserir uma senha que apenas eles conhecem, fazendo com que os dados enviados sejam criptografados antes de deixarem o dispositivo móvel.
Além disso, o Authy não permite que dados sejam armazenados a menos que uma senha de criptografia de ponta a ponta seja definida, fornecendo melhor segurança.
No entanto, esse recurso apresenta um risco, pois os usuários podem ser bloqueados de seus dados e incapazes de restaurá-los em outro dispositivo caso percam a senha.
O Google ouviu as preocupações dos usuários sobre a falta de criptografia de ponta a ponta e disse que adicionará essa funcionalidade em uma versão futura do Google Authenticator.
O Gerente de Produto do Google Group, Christiaan Brand, disse à BleepingComputer que, devido à possibilidade de criptografia de ponta a ponta bloquear os usuários de seus próprios dados, eles estão implementando cuidadosamente esse recurso em seus produtos.
O Google também já fornece criptografia de ponta a ponta em alguns de seus serviços, como o Google Chrome, que permite definir uma senha para criptografar dados sincronizados com contas do Google.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...