No início desta semana, o Google atualizou seu aplicativo Authenticator para permitir o backup e a sincronização de códigos 2FA em dispositivos usando uma Conta do Google. Agora, um exame dos pesquisadores de segurança da Mysk descobriu que as senhas únicas sensíveis que estão sendo sincronizadas com a nuvem não são criptografadas de ponta a ponta, deixando-as potencialmente expostas a agentes mal-intencionados.
Antes da integração do suporte da Conta do Google, todos os códigos no aplicativo Google Authenticator eram armazenados no dispositivo, o que significava que, se o dispositivo fosse perdido, também seriam as senhas de uso único, podendo causar perda de acesso à conta também. Mas parece que, ao permitir a sincronização baseada em nuvem, o Google expôs os usuários a um risco de segurança de um tipo diferente.
“Analisamos o tráfego de rede quando o aplicativo sincroniza os segredos e descobrimos que o tráfego não é criptografado de ponta a ponta”, disse Mysk via Twitter. “Isso significa que o Google pode ver os segredos, provavelmente mesmo enquanto eles estão armazenados em seus servidores. Não há opção para adicionar uma senha para proteger os segredos, para torná-los acessíveis apenas pelo usuário.”
“Segredos” é um termo usado para se referir a informações privadas que atuam como chaves para desbloquear recursos protegidos ou informações confidenciais; neste caso, senhas de uso único.
Mysk disse que seus testes descobriram que o tráfego não criptografado contém uma “semente” usada para gerar os códigos 2FA. Segundo os pesquisadores, qualquer pessoa com acesso a essa semente pode gerar seus próprios códigos para as mesmas contas e invadi-las.
“Se os servidores do Google fossem comprometidos, os segredos vazariam”, disse Mysk Gizmodo. Como os códigos QR envolvidos na configuração da autenticação de dois fatores contêm o nome da conta ou serviço, o invasor também pode identificar as contas. “Isso é particularmente arriscado se você for um ativista e administrar outras contas no Twitter anonimamente”, acrescentaram os pesquisadores.
Posteriormente, Mysk aconselhou os usuários a não habilitar o recurso de conta do Google que sincroniza códigos 2FA entre dispositivos e na nuvem.
O Google acaba de atualizar seu aplicativo 2FA Authenticator e adicionou um recurso muito necessário: a capacidade de sincronizar segredos entre dispositivos. TL;DR: Não ligue. A nova atualização permite que os usuários façam login com sua Conta do Google e sincronizem segredos 2FA em seus dispositivos iOS e Android.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) 26 de abril de 2023
Respondendo ao aviso, um porta-voz do Google disse CNET ele adicionou o recurso de sincronização antecipadamente por conveniência, mas essa criptografia de ponta a ponta ainda está a caminho:
Criptografia de ponta a ponta (E2EE) é um recurso poderoso que oferece proteção extra, mas ao custo de permitir que os usuários fiquem bloqueados de seus próprios dados sem recuperação. Para garantir que estamos oferecendo um conjunto completo de opções para os usuários, também começamos a implementar o E2EE opcional em alguns de nossos produtos e planejamos oferecer o E2EE para o Google Authenticator no futuro.”
Até que isso aconteça, existem serviços alternativos para sincronizar códigos de autenticação entre dispositivos, como o próprio gerador de código 2FA da Apple e aplicativos de terceiros como o Authy.
