Google Authenticator не использует сквозное шифрование при облачной синхронизации. Компания обещает добавить его в будущем

Несколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя.

Но оказалось, что это не единственная угроза безопасности. В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников. «Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах.

Нет возможности добавить парольную фразу для защиты секретов, чтобы сделать их доступными только пользователю». Секреты — это термин, используемый для обозначения частных частей информации, которые действуют как ключи для разблокировки защищенных ресурсов или конфиденциальной информации; в данном случае одноразовые пароли.