האם לסמוך על ה-Authenticator של גוגל בכמה מכשירים?

השבוע הכריזה גוגל על תכונה חדשה, שרבים ציפו לה, המאפשרת לסנכרן את אפליקציית Authenticator לחשבון גוגל ולהשתמש בו במספר מכשירים.

אפליקציית ה-Authenticator של גוגל מספקת קודים ייחודיים, שכניסות לאתר עשויות לבקש כשכבה שנייה של אבטחה על סיסמאות.

ואולם מסתבר, בעקבות בדיקה של מפתחי אפליקציות וחוקרי אבטחה בחברת התוכנה Mysk כי הנתונים הבסיסיים אינם מוצפנים מקצה לקצה.

"בדקנו את התכונה ברגע שגוגל פרסמה אותה. הבנו שהאפליקציה לא יוצרת או מציעה אפשרות להשתמש בביטוי סיסמה כדי להגן על הסודות", אמר טומי מיסק, אחד החוקרים שחשף את הבעיה.

כשמיסק ושותפו, טלאל חאג' באקרי, ניתחו את תעבורת הרשת כשהאפליקציה מסתנכרנת עם שרתי גוגל, הם גילו שהנתונים אינם מוצפנים מקצה לקצה. "זה אומר שגוגל יכולה לראות את הסודות, כנראה אפילו כשהם נמצאים מאוחסנים בשרתים שלהם", כתב צוות Mysk בטוויטר. בקהילת האבטחה, "סודות" הוא המונח לאישורים הפועלים כמפתח לפתיחת חשבון או כלי.

"השורה התחתונה: למרות שסנכרון סודות באימות דו-גורמי (2FA) בין מכשירים נוח, זה בא על חשבון הפרטיות שלך", כתב מיסק. "אנו ממליצים להשתמש באפליקציה ללא תכונת הסנכרון החדשה לעת עתה."

הבדיקות גילו, שהתעבורה הלא מוצפנת מכילה "זרע" המשמש ליצירת קודי אימות דו-גורמי. לפי מיסק, כל מי שיש לו גישה ל-"זרע" הזה יכול ליצור קודים משלו לחשבונות ולפרוץ אליהם. "אם שרתי גוגל היו נפגעים, סודות היו דולפים", אמר מיסק. "גרוע מכך, קודי QR המעורבים בהגדרת אימות דו-שלבי מכילים גם את שם החשבון או השירות (אמזון או טוויטר, למשל). "התוקף יכול גם לדעת אילו חשבונות יש לך. זה מסוכן במיוחד אם אתה פעיל ומנהל חשבונות טוויטר אחרים באופן אנונימי".עוד ציין מיסק, שהחשש הוא לא רק מפני פושעי סייבר, אלא גם "צוות גוגל או גוגל יכולים לגשת לנתונים האלה", לדבריו.

חוסר ההצפנה אומר שגוגל יכולה בתיאוריה לצפות בנתונים וללמוד באילו אפליקציות ושירותים המשתמש עושה שימוש, שיכולים להיות בעלי ערך למספר מטרות, כולל מודעות ממוקדות. "לאפשר לענקית טכנולוגיה שצמאה לנתונים, כמו גוגל, ליצור גרף של כל החשבונות והשירותים שיש לכל משתמש זה לא דבר טוב", אמר מיסק.

גוגל הודתה שהנתונים אינם מוצפנים מקצה לקצה, אך אמרה שתכונת האבטחה תגיע בשלב מסוים.

"הצפנה מקצה לקצה (E2EE) היא תכונה רבת עוצמה, המספקת הגנות נוספות, אך במחיר של מתן אפשרות למשתמשים להינעל מחוץ לנתונים שלהם ללא התאוששות", אמר כריסטיאן ברנד, מנהל מוצר קבוצתי בגוגל. "כדי להבטיח שאנו מציעים סט שלם של אפשרויות למשתמשים, התחלנו גם להשיק E2EE אופציונלי בחלק מהמוצרים שלנו, ואנו מתכננים להציע E2EE עבור ה-Authenticator בעתיד." בראנד פרסם שרשור בטוויטר עם פרטים נוספים.