0
0
Após uma espera de 13 anos, o Google Authenticator adicionou um recurso de sincronização de conta 2FA que permite que seus usuários façam backup de suas sequências de código 2FA na nuvem, após o que eles podem restaurá-las de volta para um novo dispositivo.
Embora o processo no qual um usuário carrega seus segredos 2FA seja criptografado, pesquisadores da Naked Security by Sophos e desenvolvedores iOS da Mysk relataram que os detalhes 2FA de um usuário eram “não criptografados dentro dos pacotes de rede HTTPS do Google”. Além disso, não há nenhuma opção em que um usuário possa criptografar seu upload usando uma senha antes de sair do dispositivo.
Isso é preocupante devido ao fato de que, uma vez que a criptografia para o transporte dos dados é removida após a chegada do upload, os dados estão disponíveis para o Google e praticamente qualquer outra pessoa que esteja em busca dessas informações, incluindo qualquer pessoa com um mandado de busca.
Embora seja possível que o Google possa resolver esse problema de segurança no futuro, os pesquisadores da Mysk “recomendam o uso do aplicativo sem o novo recurso de sincronização por enquanto”.
“Embora a sincronização de segredos 2FA entre dispositivos seja conveniente, ela vem às custas de sua privacidade. Felizmente, o Google Authenticator ainda oferece a opção de usar o aplicativo sem fazer login ou sincronizar segredos”, disseram os pesquisadores da Mysk em um tweet.
FONTE: DARK READING