yeni iki faktörlü kimlik doğrulama aracı uçtan uca şifrelenmez; bu da kullanıcıları önemli güvenlik risklerine maruz bırakabilir. güvenlik araştırmacıları tarafından yapılan test bulundu.
Google’ın Authenticator uygulaması, web sitesi girişlerinin isteyebileceği benzersiz kodlar sağlar parolaların üzerinde ikinci bir güvenlik katmanı olarak. Pazartesi günü Google, Authenticator’ı bir Google hesabıyla senkronize etmenize ve onu birden çok cihazda kullanmanıza olanak tanıyan, uzun zamandır beklenen bir özelliği duyurdu. Bu harika bir haber çünkü geçmişte, kimlik doğrulama uygulaması yüklüyken telefonunuzu kaybederseniz, hesabınız kilitlenebilirdi.
Ancak Mysk yazılım şirketindeki uygulama geliştiricileri ve güvenlik araştırmacıları, arka planı incelediklerinde, temeldeki verilerin uçtan uca şifrelenmemiş olduğunu gördüler.
“Google, özelliği yayınlar yayınlamaz özelliği test ettik. Uygulamanın, sırları korumak için bir parola kullanma seçeneği veya istemi sağlamadığını fark ettik.” şirket Twitter’da yazdı.
İNDİRİMDE
Favori VPN’lerimizden İkisi
Özel verilerinizi koruyun
Her gün tonlarca özel veriyi paylaşıyor ve bu verilere erişiyoruz; bu bilgiler yanlış ellere geçerse bazı büyük sorunlara neden olabilir.
Şirket, “Uygulama sırları senkronize ettiğinde ağ trafiğini analiz ettik ve trafiğin uçtan uca şifreli olmadığı ortaya çıktı” diye ekledi. katma. “Ekran görüntülerinde gösterildiği gibi bu, Google’ın sırları muhtemelen sunucularında depolanırken bile görebileceği anlamına geliyor.” Güvenlik topluluğunda “sırlar”, bir hesabın veya aracın kilidini açmak için anahtar görevi gören kimlik bilgileri için kullanılan terimdir.
Google Authenticator’ı Google hesabınıza bağlamadan veya cihazlar arasında senkronize etmeden kullanabilirsiniz, bu da bu sorunu önler. Ne yazık ki bu, kullanıcıların yıllarca yaygara kopardığı kullanışlı bir özellikten kaçınmanın en iyisi olabileceği anlamına geliyor. Şirket, “Sonuç olarak: 2FA sırlarını cihazlar arasında senkronize etmek uygun olsa da, gizliliğiniz pahasına geliyor” dedi. “Uygulamayı şimdilik yeni senkronizasyon özelliği olmadan kullanmanızı öneririz.”
Google, yorum talebine hemen yanıt vermedi.
TTestler, şifrelenmemiş trafiğin iki faktörlü kimlik doğrulama kodlarını oluşturmak için kullanılan bir “çekirdek” içerdiğini buldu. Sorunu ortaya çıkaran araştırmacılardan biri olan Tommy Mysk’e göre, o seed’e erişimi olan herkes hesaplarınız için kendi kodlarını oluşturabilir ve içeri girebilir.
Mysk, Gimodo’ya “Google sunucularının güvenliği ihlal edilmiş olsaydı, sırlar sızardı” dedi. Yaralanmaya hakaret ekleyen QR kodları, iki-faktörlü kimlik doğrulama hesabın veya hizmetin adını da içerir (örneğin Amazon veya Twitter). Saldırgan, hangi hesaplara sahip olduğunuzu da bilebilir. Bir aktivistseniz ve diğer Twitter hesaplarını anonim olarak yönetiyorsanız bu özellikle risklidir.”
Ancak endişelenmeniz gerekenler sadece siber suçlular değil. Mysk, “Google veya Google personeli bu verilere erişebilir” dedi.
Tşifreleme olmaması, Google’ın teoride yapabileceği anlamına gelir verilere bakın ve hedefli reklamlar da dahil olmak üzere çeşitli amaçlar için değerli olabilecek hangi uygulamaları ve hizmetleri kullandığınızı öğrenin. Mysk, “Google gibi verilere susamış bir teknoloji devinin, her kullanıcının sahip olduğu tüm hesapların ve hizmetlerin bir grafiğini oluşturmasına izin vermek iyi bir şey değil” dedi.
Google’ın benzer araçlarla geçmişi göz önüne alındığında, sorun bir sürpriz olarak geliyor. Google, Google Chrome’daki verileri cihazlar arasında senkronize etmenize izin veren belli belirsiz benzer bir özelliğe sahiptir. Orada, şirket kullanıcılara bir şifre oluşturma seçeneği bu verileri korumak, Google’ın meraklı gözlerinden uzak tutmak ve onu ele geçirebilecek başka herhangi birinden korumak.
“2FA sırları, tıpkı şifreler gibi hassas veriler olarak kabul edilir. Google, Chrome verilerini senkronize etmek için parolaları zaten desteklemektedir. Bu yüzden 2FA sırlarının aynı şekilde ele alınmasını bekliyorduk, ”dedi Mysk.
Şimdiye kadar Google, Authenticator senkronizasyon özelliğine şifre koruması ekleme planlarını açıklamadı.