谷歌添加了同步功能,以帮助用户将他们的双因素身份验证代码序列备份到云端,从而使他们只需在登录到特定谷歌帐户的设备上添加应用程序的新实例即可节省时间并在多台设备上恢复身份验证。
“谷歌刚刚更新了其 2FA Authenticator 应用程序并添加了一项急需的功能:跨设备同步机密的能力。TL;DR:不要打开它,”Mysk在本周早些时候的推文中解释道。“虽然跨设备同步 2FA 秘密很方便,但它是以牺牲您的隐私为代价的。”
研究人员表示,缺乏加密会使用户面临数据泄露和谷歌账户可能被接管的风险。一次成功的攻击使恶意行为者可以访问用于生成一次性代码的双因素身份验证的二维码,从而允许不良行为者生成相同的一次性代码。
“每个 2FA QR 码都包含一个秘密或种子,用于生成一次性代码。如果其他人知道这个秘密,他们可以生成相同的一次性代码并击败 2FA 保护。所以,如果有数据泄露或者如果有人获得了对你的谷歌账户的访问权限,你所有的 2FA 秘密都会被泄露,”Mysk 写道。
Sophos 的 Naked Security 博客的 Paul Ducklin指出,任何拥有搜索您的 Google 数据的授权的人都可以访问身份验证器的敏感数据。
Mysk 研究人员建议注重隐私的用户关闭 Google Authenticator 中的新同步功能。
谷歌身份和安全产品经理 Christiaan Brand 的一条推文承认了隐私问题,并表示谷歌计划“下线”为谷歌身份验证器推出端到端加密。
“[谷歌] 认为,我们目前的产品为大多数用户取得了适当的平衡,并提供了比离线使用更显着的优势,”他写道。
