Gebruikers van Google Authenticator die hun one-time codes als back-up in hun Google-account opslaan moeten er rekening mee houden dat hierbij geen end-to-end encryptie wordt gebruikt, wat inhoudt dat Google toegang tot deze informatie heeft, zo stellen beveiligingsonderzoekers van softwarebedrijf Mysk op basis van uitgewisseld netwerkverkeer. De onderzoekers adviseren dan ook om de nieuwe synchronisatiefeature niet te gebruiken.
Deze week kondigde Google een nieuwe feature voor de Google Authenticator aan. Een applicatie voor het genereren van 2FA-codes waarmee gebruikers op een account kunnen inloggen. De codes in Authenticator waren echter alleen op de telefoon van de gebruiker opgeslagen. Bij verlies van de telefoon kon de gebruiker dan niet meer inloggen op accounts waar hij via Authenticator tweefactorauthenticatie (2FA) voor had ingesteld, aldus Google.
Voorheen moesten gebruikers bij de overstap naar een nieuwe telefoon de codes handmatig van het ene toestel naar het andere toestel overzetten of eerst 2FA uitschakelen om vervolgens weer op de nieuwe telefoon in te schakelen. De nieuwe synchronisatiefeature zorgt ervoor dat gegenereerde codes ook in het Google-account van de gebruiker kunnen worden opgeslagen. Deze codes zijn vervolgens toegankelijk vanaf elke toestel waarop de gebruiker Google Authenticator installeert.
Op basis van het netwerkverkeer stellen de onderzoekers dat het verkeer niet end-to-end versleuteld is, wat inhoudt dat Google opgeslagen codes kan bekijken. "Er is geen optie om een passphrase toe te voegen om de codes te beschermen, zodat ze alleen toegankelijk voor de gebruiker zijn", aldus de onderzoekers.
Die merken op dat elke 2FA qr-code een seed bevat die wordt gebruikt voor het genereren van de one-time codes. Wanneer iemand het secret weet, kunnen ze dezelfde one-time codes genereren en de 2FA-beveiliging van accounts omzeilen. Mocht een aanvaller toegang tot het Google-account van de gebruiker krijgen, zijn al zijn 2FA-secrets gecompromitteerd.
Daarnaast bevatten 2FA qr-codes vaak andere informatie, zoals gebruikersnaam en de naam van de betreffende dienst, zoals Twitter of Amazon. Aangezien Google al deze data kan zien, weet het bij welke online diensten de gebruiker actie is en kan in theorie deze informatie voor gepersonaliseerde advertenties gebruiken, zo stellen de onderzoekers, die gebruikers adviseren de synchronisatiefeature vooralsnog niet te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.