Joe Hindy / Autoridade do Android
TL;DR
- O Google lançou um novo recurso para seu aplicativo Authenticator que sincroniza o aplicativo entre dispositivos.
- Os pesquisadores de segurança descobriram que o novo recurso não possui criptografia de ponta a ponta.
- Os pesquisadores recomendam evitar o recurso por enquanto.
No início desta semana, o Google introduziu um novo recurso em seu aplicativo 2FA Authenticator. O novo recurso permite que o aplicativo sincronize com uma conta do Google, permitindo que os códigos do Google Authenticator sejam usados em diferentes dispositivos. Agora, os pesquisadores de segurança estão dizendo para evitar o recurso por enquanto.
No Twitter, pesquisadores de segurança da empresa de software Almíscar revelaram que testaram o novo recurso do aplicativo Authenticator. Depois de analisar o tráfego de rede quando o aplicativo sincroniza com outro dispositivo, eles descobriram que o tráfego não era criptografado de ponta a ponta.
Analisamos o tráfego de rede quando o aplicativo sincroniza os segredos e descobrimos que o tráfego não é criptografado de ponta a ponta. Conforme mostrado nas capturas de tela, isso significa que o Google pode ver os segredos, provavelmente mesmo enquanto eles estão armazenados em seus servidores. Não há opção para adicionar uma senha para proteger os segredos, para torná-los acessíveis apenas pelo usuário.
O termo “segredos” é o jargão da comunidade de segurança para credenciais. Eles estão dizendo que os funcionários do Google podem ver as credenciais que você usa para fazer login nas contas.
A empresa de software vai além para explicar exatamente por que isso é ruim para sua privacidade.
Cada código QR 2FA contém um segredo, ou uma semente, que é usado para gerar os códigos únicos. Se outra pessoa souber o segredo, ela poderá gerar os mesmos códigos únicos e derrotar as proteções 2FA. Portanto, se houver uma violação de dados ou se alguém obtiver acesso à sua Conta do Google, todos os seus segredos 2FA serão comprometidos.
O que é pior, como aponta Mysk, “os códigos QR 2FA geralmente contêm outras informações, como nome da conta e o nome do serviço (por exemplo, Twitter, Amazon etc.)”. Isso significa que o Google pode ver os serviços online que você usa e pode usar essas informações para veicular anúncios personalizados. Seria ainda mais problemático se um cibercriminoso obtivesse o controle de sua conta do Google.
Apesar do flagrante problema de segurança, pelo menos parece que os segredos 2FA armazenados em uma conta do Google não foram comprometidos, de acordo com Mysk.
Surpreendentemente, as exportações de dados do Google não incluem os segredos 2FA armazenados na Conta do Google do usuário. Baixamos todos os dados associados à conta do Google que usamos e não encontramos vestígios dos segredos 2FA.
Os pesquisadores de segurança encerram sua postagem recomendando que os usuários evitem usar o recurso até que o Google corrija esse problema. Até o momento, o Google ainda não anunciou se adicionará proteção por senha a esse novo recurso.
