Google Authenticator: Vjen së shpejti kriptimi E2E

zero1.al
1

Versioni më i fundit i aplikacionit Google Authenticator për Android dhe iOS ju lejon të sinkronizoni kodet OTP me cloud. Megjithatë, studiuesit e Mysk zbuluan se nuk ka enkriptim nga fundi në fund, kështu që kodet mund të lexohen nga kushdo. Kompania Mountain View ka premtuar se kjo mbrojtje do të zbatohet në të ardhmen.

Mos e aktivizo sinkronizimin
Sinkronizimi i ofruar nga Google Authenticator shmang transferimin manual të kodeve nga pajisja e vjetër në pajisjen e re, pasi mjafton të identifikohesh në të njëjtën llogari Google. Megjithatë, studiuesit e Mysk zbuluan se dërgimi i kodeve në cloud nuk është i sigurt. Trafiku drejt serverëve të Google nuk mbrohet nga kriptimi nga skaji në skaj.

Çdo kod QR 2FA përmban një sekret ose farë që përdoret për të gjeneruar kodin OTP. Nëse dikush e di sekretin, është e mundur të gjenerohen të njëjtat kode dhe kështu të anashkalohet vërtetimi me dy faktorë. Kjo mund të ndodhë në rast të një shkeljeje të të dhënave kundër Google ose nëse një kriminel kibernetik fiton qasje në llogari.

Studiuesit theksojnë gjithashtu se kodet 2FA QR përmbajnë informacione të tjera, duke përfshirë emrin e llogarisë tuaj dhe emrin e shërbimit, kështu që Google mund t’i shikojë këto të dhëna dhe t’i përdorë ato për të shfaqur reklama të personalizuara. Google mbështet përdorimin e një fraze kalimi për të mbrojtur të dhënat e Chrome, kështu që mund ta zgjerojë atë edhe në aplikacionin Authenticator.

Christiaan Brand, Menaxher i Produkteve në Google, tha se enkriptimi nga fundi në fund do t’i shtohet aplikacionit në të ardhmen. Megjithatë, do të jetë opsionale sepse aktivizimi i tij mund të parandalojë aksesin në kode pa mundësinë e rikuperimit (nëse përdoruesi harron frazën e kalimit).

This is a companion discussion topic for the original entry at https://zero1.al/2023/04/27/google-authenticator-vjen-se-shpejti-kriptimi-e2e/