Trước khi tích hợp hỗ trợ Tài khoản Google, tất cả các mã trong ứng dụng Google Authenticator đều được lưu trữ trên thiết bị, điều đó có nghĩa là nếu thiết bị bị mất thì mật mã dùng một lần cũng vậy, có khả năng gây mất quyền truy cập tài khoản. Nhưng có vẻ như bằng cách cho phép đồng bộ hóa dựa trên đám mây, Google đã mở ra cho người dùng một loại rủi ro bảo mật khác.
Mysk cho biết: “Chúng tôi đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và hóa ra lưu lượng không được mã hóa đầu cuối”. Twitter. “Điều này có nghĩa là Google có thể xem các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn nào để thêm cụm mật khẩu để bảo vệ các bí mật, để chỉ người dùng mới có thể truy cập chúng.”
“Bí mật” là một thuật ngữ dùng để chỉ các mẩu thông tin riêng tư đóng vai trò là chìa khóa để mở khóa các tài nguyên được bảo vệ hoặc thông tin nhạy cảm; trong trường hợp này, mật khẩu một lần.
Mysk cho biết các thử nghiệm của họ đã phát hiện ra rằng lưu lượng không được mã hóa có chứa một “hạt giống” được sử dụng để tạo mã 2FA. Theo các nhà nghiên cứu, bất kỳ ai có quyền truy cập vào hạt giống đó đều có thể tạo mã của riêng họ cho cùng một tài khoản và đột nhập vào chúng.
“Nếu các máy chủ của Google bị xâm nhập, các bí mật sẽ bị rò rỉ,” Mysk nói Gizmodo. Vì các mã QR liên quan đến việc thiết lập xác thực hai yếu tố chứa tên của tài khoản hoặc dịch vụ nên kẻ tấn công cũng có thể xác định được các tài khoản đó. Các nhà nghiên cứu cho biết thêm: “Điều này đặc biệt rủi ro nếu bạn là một nhà hoạt động và điều hành các tài khoản Twitter khác một cách ẩn danh”.
Mysk sau đó đã khuyên người dùng không nên bật tính năng tài khoản Google đồng bộ hóa mã 2FA trên các thiết bị và đám mây.
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ bí mật giữa các thiết bị. TL;DR: Đừng bật nó lên. Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR
— Xạ hương 🇨🇦🇩🇪 (@mysk_co) Ngày 26 tháng 4 năm 2023
Trả lời cảnh báo, một phát ngôn viên của Google nói Cnet nó đã sớm thêm tính năng đồng bộ hóa để thuận tiện, nhưng mã hóa đầu cuối đó vẫn đang được tiến hành:
Mã hóa đầu cuối (E2EE) là một tính năng mạnh mẽ cung cấp các biện pháp bảo vệ bổ sung, nhưng với cái giá phải trả là cho phép người dùng thoát khỏi dữ liệu của chính họ mà không cần khôi phục. Để đảm bảo rằng chúng tôi đang cung cấp đầy đủ các tùy chọn cho người dùng, chúng tôi cũng đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và chúng tôi dự định cung cấp E2EE cho Google Authenticator trong tương lai.”
Cho đến khi điều đó xảy ra, vẫn có các dịch vụ thay thế để đồng bộ hóa mã xác thực trên các thiết bị, chẳng hạn như trình tạo mã 2FA của riêng Apple và các ứng dụng của bên thứ ba như Authy.
Cảm ơn bạn đã xem qua bài viết này , mình là Thiện, 1 người yêu thích công nghệ và chia sẻ, hãy theo dõi website của mình nhé!