O que você precisa saber
- Pesquisadores da Mysk descobriram que o Google Authenticator não criptografa de ponta a ponta os códigos 2FA dos usuários.
- Os “segredos” necessários para os códigos 2FA podem ser vistos pelo Google, tornando os usuários vulneráveis a violações de dados.
- Christiaan Brand of Google respondeu afirmando que há planos de trazer o E2EE para o Google Authenticator no futuro.
Após a tão esperada atualização do Google Authenticator, a empresa de software Mysk emitiu um aviso para que os usuários não habilitem o recurso devido a preocupações de que o recurso não é seguro.
A atualização em questão introduziu recentemente uma opção de sincronização para códigos únicos, que permitiria aos usuários armazená-los em suas Contas do Google. A ideia era ajudar a evitar uma situação em que um usuário fosse bloqueado em todas as suas contas, já que esses códigos únicos foram armazenados anteriormente no dispositivo em que o aplicativo foi instalado.
Mysk encontrou evidências de que os usuários interessados em usar o recurso podem precisar levar em consideração que o tráfego de rede gerado pelo aplicativo Authenticator não é criptografado de ponta a ponta. Uma pessoa com intenção maliciosa pode roubar o “segredo” ou “semente” usado para gerar seu código QR 2FA. Com isso, seus esforços para criar uma barreira de segurança mais forte seriam discutíveis.
O Google acaba de atualizar seu aplicativo 2FA Authenticator e adicionou um recurso muito necessário: a capacidade de sincronizar segredos entre dispositivos. segredos em seus dispositivos iOS e Android.… pic.twitter.com/a8hhelupZR26 de abril de 2023
Além disso, Mysk menciona que os códigos QR 2FA têm a capacidade de conter outras informações sobre você, como o nome da sua conta e o nome do serviço para o qual o código se destina. A especulação sugere que o Google pode usar essas informações para bombardeá-lo com anúncios personalizados em seus serviços, mas isso pode significar perigo para os usuários. Mysk afirma que, se o Google sofresse uma violação de dados, suas informações voariam direto para eles.
Em resposta, Christiaan Brand, gerente de produto do Google, explicou a falta de E2EE do Authenticator em uma Tweetar na quinta feira. Embora o aplicativo não ofereça a proteção de segurança que os usuários gostariam, há planos para oferecer criptografia posteriormente. Ele afirma que o Google criptografa seus dados de todos os seus aplicativos, incluindo o Authenticator, quando está “em trânsito e em repouso”.
“No momento, acreditamos que nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos sobre o uso off-line”, continua Brand. Além disso, a inclusão de criptografia mais forte como E2E pode ressurgir a possibilidade de os usuários serem bloqueados em suas contas.
No entanto, conforme mencionado anteriormente e reiterado por Brand, a sincronização da conta do Google Authenticator é totalmente opcional. Se os usuários se sentirem mais seguros usando o aplicativo em um estado offline, com controle sobre como fazer backup de suas informações, isso ainda estará disponível para eles.