Google Authenticator 新功能未採端到端加密,安全人員籲先別啟用
你是否啟用 Google Authenticator 新增的雲端同步功能?安全研究人員卻急呼籲先別這麼做。
Google Authenticator 近日升級更新後,可將驗證碼雲端同步到你的 Google 帳號和所有裝置,好處是萬一不慎遺失手機,仍能隨時存取這些驗證碼。不過,Mysk 的安全研究人員發文抨擊新的雲端同步功能並未採用端到端加密(end-to-end encryption,E2EE),呼籲所有用戶先不要啟用雲端同步功能。
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
▲ Mysk 的安全研究人員點出 Google Authenticator 雲端同步新功能疑慮。
Mysk 的安全研究人員分析 Google Authenticator 同步時的網路流量,發現並沒有進行端到端加密,這意味著 Google 能夠看到屬於用戶個人的秘密資訊,甚至可能存在伺服器上,同時這款 App 也沒有提供密碼功能加以保護這些秘密資訊,存在使用風險。
每個雙重驗證的 QRcode 包含密鑰,能夠產生一次性驗證碼。如果他人知道密鑰,也能產生相同的一次性驗證碼,雙重驗證就失去了保護作用。萬一發生資料外洩或有人不法取得你的 Google 帳號權限,雙重驗證的密鑰也會洩漏。
此外,雙重驗證的 QRcode 通常包含其他資訊,例如帳號名稱和登入服務名稱(例如 Twitter、亞馬遜等)。Mysk 的安全研究人員認為 Google 藉此知道你使用哪些線上服務,可能以此進行廣告投放。
對此 Google 回應,Google Authenticator 新功能目的不僅保護 Google 用戶,且是兼具實用和方便的功能,E2EE 是一項提供額外保護的強大功能,但是如果用戶忘記或遺失自己的 Google 帳號密碼,他們可能無法恢復資料。強調包括 Google Authenticator 在內的產品,資料傳輸或靜態儲存上有加密。Google 已經計劃為 Google Authenticator 導入 E2EE,但未透露具體時程。
(2/4) We encrypt data in transit, and at rest, across our products, including in Google Authenticator. E2EE is a powerful feature that provides extra protections, but at the cost of enabling users to get locked out of their own data without recovery.
— Christiaan Brand (@christiaanbrand) April 26, 2023
▲ 負責身分和安全的 Google 產品經理 Christiaan Brand,回應 Google Authenticator 的疑慮。
雖然跨裝置同步功能解決 Google Authenticator 的不便,但 Mysk 的安全研究人員認為這是犧牲用戶隱私換來的,好在這款 App 目前仍提供無需登入或啟用同步的方式,Google 也承諾將會導入 E2EE,以解除用戶的疑慮。
(首圖來源:Flickr/Automobile Italia CC BY 2.0)