[ad_1]
Đầu tuần này, Google đã cập nhật ứng dụng Authenticator để cho phép sao lưu và đồng bộ hóa mã 2FA trên các thiết bị bằng Tài khoản Google. Giờ đây, một cuộc kiểm tra của các nhà nghiên cứu bảo mật Mysk đã phát hiện ra rằng mật mã dùng một lần nhạy cảm được đồng bộ hóa với đám mây không được mã hóa đầu cuối, khiến chúng có khả năng bị lộ trước những kẻ xấu.

trình xác thực google
Trước khi tích hợp hỗ trợ Tài khoản Google, tất cả các mã trong ứng dụng Google Authenticator đều được lưu trữ trên thiết bị, điều đó có nghĩa là nếu thiết bị bị mất thì mật mã dùng một lần cũng vậy, có khả năng gây mất quyền truy cập tài khoản. Nhưng có vẻ như bằng cách cho phép đồng bộ hóa dựa trên đám mây, Google đã mở ra cho người dùng một loại rủi ro bảo mật khác.

Mysk cho biết: “Chúng tôi đã phân tích lưu lượng mạng khi ứng dụng đồng bộ hóa các bí mật và hóa ra lưu lượng không được mã hóa đầu cuối”. Twitter. “Điều này có nghĩa là Google có thể xem các bí mật, có thể ngay cả khi chúng được lưu trữ trên máy chủ của họ. Không có tùy chọn nào để thêm cụm mật khẩu để bảo vệ các bí mật, để chỉ người dùng mới có thể truy cập chúng.”

“Bí mật” là một thuật ngữ dùng để chỉ các mẩu thông tin riêng tư đóng vai trò là chìa khóa để mở khóa các tài nguyên được bảo vệ hoặc thông tin nhạy cảm; trong trường hợp này, mật khẩu một lần.

Mysk cho biết các thử nghiệm của họ đã phát hiện ra rằng lưu lượng không được mã hóa có chứa một “hạt giống” được sử dụng để tạo mã 2FA. Theo các nhà nghiên cứu, bất kỳ ai có quyền truy cập vào hạt giống đó đều có thể tạo mã của riêng họ cho cùng một tài khoản và đột nhập vào chúng.

“Nếu các máy chủ của Google bị xâm nhập, các bí mật sẽ bị rò rỉ,” Mysk nói Gizmodo. Vì các mã QR liên quan đến việc thiết lập xác thực hai yếu tố chứa tên của tài khoản hoặc dịch vụ nên kẻ tấn công cũng có thể xác định được các tài khoản đó. Các nhà nghiên cứu cho biết thêm: “Điều này đặc biệt rủi ro nếu bạn là một nhà hoạt động và điều hành các tài khoản Twitter khác một cách ẩn danh”.

Mysk sau đó đã khuyên người dùng không nên bật tính năng tài khoản Google đồng bộ hóa mã 2FA trên các thiết bị và đám mây.

Trả lời cảnh báo, một phát ngôn viên của Google nói Cnet nó đã sớm thêm tính năng đồng bộ hóa để thuận tiện, nhưng mã hóa đầu cuối đó vẫn đang được tiến hành:

Mã hóa đầu cuối (E2EE) là một tính năng mạnh mẽ cung cấp các biện pháp bảo vệ bổ sung, nhưng với cái giá phải trả là cho phép người dùng thoát khỏi dữ liệu của chính họ mà không cần khôi phục. Để đảm bảo rằng chúng tôi đang cung cấp đầy đủ các tùy chọn cho người dùng, chúng tôi cũng đã bắt đầu triển khai E2EE tùy chọn trong một số sản phẩm của mình và chúng tôi dự định cung cấp E2EE cho Google Authenticator trong tương lai.”

Cho đến khi điều đó xảy ra, vẫn có các dịch vụ thay thế để đồng bộ hóa mã xác thực trên các thiết bị, chẳng hạn như trình tạo mã 2FA của riêng Apple và các ứng dụng của bên thứ ba như Authy.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

Trang web này sử dụng cookie để cung cấp cho bạn trải nghiệm duyệt web tốt hơn. Bằng cách duyệt trang web này, bạn đồng ý với việc chúng tôi sử dụng cookie.