Google Authenticator, sonunda uçtan uca şifreleme alıyor. Güvenlik araştırmacıları, şirketi Authenticator’ın hesap senkronizasyonu güncellemesine dahil etmediği için eleştirdikten sonra, Google ürün yöneticisi Christiaan Brand Twitter’da yanıt verdi şirketin gelecekte “E2EE sunmayı planladığını” söyleyerek.
Brand, “Şu anda mevcut ürünümüzün çoğu kullanıcı için doğru dengeyi sağladığına ve çevrimdışı kullanıma göre önemli avantajlar sağladığına inanıyoruz” diye yazıyor. “Ancak, uygulamayı çevrimdışı kullanma seçeneği, yedekleme stratejilerini kendileri yönetmeyi tercih edenler için bir alternatif olmaya devam edecek.”
Bu haftanın başlarında, Google Authenticator nihayet kullanıcılara iki faktörlü kimlik doğrulama kodlarını Google hesaplarıyla senkronize etme seçeneği sunmaya başladı ve yeni cihazlarda hesaplarda oturum açmayı çok daha kolaylaştırdı.
Bu hoş bir değişiklik olsa da, birinin Google hesabına giren bilgisayar korsanları sonuç olarak potansiyel olarak bir dizi başka hesaba erişim elde edebileceğinden, bazı güvenlik endişeleri de doğurur. Özellik E2EE’yi destekleseydi, bilgisayar korsanları ve Google dahil diğer üçüncü taraflar bu bilgileri göremezdi.
Güvenlik araştırmacıları Mysk bu risklerden bazılarını vurguladı Twitter’daki bir gönderide, “bir veri ihlali olursa veya birisi Google Hesabınıza erişim elde ederse, tüm 2FA sırlarınız tehlikeye girer.” Google’ın kişiselleştirilmiş reklamlar sunmak için hesaplarınıza bağlı bilgileri potansiyel olarak kullanabileceğini eklediler ve kullanıcılara, E2EE’yi destekleyene kadar senkronizasyon özelliğini kullanmamalarını tavsiye ettiler.
Brand, Google’ın “Google Authenticator dahil olmak üzere ürünlerimiz genelinde aktarılan ve bekleyen verileri” şifrelediğini, ancak E2EE’yi uygulamanın “kullanıcıların herhangi bir işlem yapmadan kendi verilerine erişememelerini sağlama” pahasına olduğunu belirterek eleştiriye karşı çıktı. iyileşmek.” Yine de, Google’ın E2EE’yi Authenticator’ın yeni hesap senkronizasyon özelliğine ne zaman getireceği konusunda henüz bir zaman çizelgesi yok, bu da kullanıcılara özelliği E2EE olmadan kullanma veya yalnızca Google Authenticator’ı çevrimdışı kullanmaya devam etme seçeneği bırakıyor.