Google Authenticator, 13 yıllık bir bekleyişin ardından, kullanıcılarının 2FA kod dizilerini buluta yedeklemelerine ve ardından bunları yeni bir cihaza geri yüklemelerine olanak tanıyan bir 2FA hesap senkronizasyon özelliği ekledi.
Bir kullanıcının 2FA sırlarını yükleme işlemi şifrelenmiş olsa da, Naked Security by Sophos’ta araştırmacılar ve Mysk’teki iOS geliştiricileri, bir kullanıcının 2FA ayrıntılarının “Google’ın HTTPS ağ paketleri içinde şifrelenmemiş” olduğunu bildirdi. Ayrıca, bir kullanıcının yüklemesini cihazından ayrılmadan önce bir parola kullanarak şifreleyebileceği bir seçenek yoktur.
Bu endişe vericidir, çünkü yükleme geldikten sonra verilerin taşınması için kullanılan şifreleme kaldırıldığında, veriler Google’a ve arama izni olan herkes dahil bu bilgiyi arayan hemen hemen herkese açıktır.
Google’ın gelecekte bu güvenlik sorununu ele alması mümkün olsa da, Mysk’teki araştırmacılar “uygulamayı şimdilik yeni senkronizasyon özelliği olmadan kullanmanızı tavsiye ediyor.”
“2FA sırlarını cihazlar arasında senkronize etmek uygun olsa da, gizliliğiniz pahasına oluyor. Neyse ki, Google Authenticator, uygulamayı oturum açmadan veya sırları senkronize etmeden kullanma seçeneği sunmaya devam ediyor” dedi. Bir tweet’te Mysk araştırmacıları.