Коды Google Authenticator пры сінхранізацыі з воблакам не шыфруюцца — рызыка ўзлому высокая
У абнаўленні Authenticator з’явілася апцыянальнае рэзервовае капіраванне і сінхранізацыя пароляў двухэтапнай аўтэнтыфікацыі з акаўнтам Google.
У абнаўленні Authenticator з’явілася апцыянальнае рэзервовае капіраванне і сінхранізацыя пароляў двухэтапнай аўтэнтыфікацыі з акаўнтам Google.
Дагэтуль аднаразовыя паролі аўтэнтыфікацыі генераваліся толькі на прыладзе. Страта гаджата маглі прывесці да таго, што карыстальніку не быў даступны акаўнт, звязаны з Google Authenticator. Новая функцыя вырашыла гэтую праблему, але прынесла іншую. Эксперты Mysk выявілі, што пры сінхранізацыі кодаў трафік не шыфруецца «з канца ў канец». У незашыфраваным трафіку ёсць seed-інфармацыя, якая дазваляе зламыснікам генераваць свае коды.
Хакеры могуць ідэнтыфікаваць акаўнты па QR-кодах, якія выкарыстоўваюцца для наладжвання двухэтапнай аўтэнтыфікацыі. У іх утрымліваецца назва акаўнта або сэрвісу. Пры ўзломе сервераў Google гіпатэтычна можа адбыцца масавая ўцечка. Пры гэтым у карыстальніка няма магчымасці дадаць парольную фразу, каб зрабіць паролі даступнымі толькі для ўладальніка акаўнта. Эксперты параілі не ўключаць новай функцыі. Кампанія адказала, што скразное шыфраванне акаўнтаў з’явіцца ў будучыні.
Google выпусціла экстраннае абнаўленне для Chrome праз уразлівасць нулявога дня
Google выпусціла экстраннае абнаўленне для Chrome праз уразлівасць нулявога дня
NYT: Samsung падумвае адмовіцца ад пашукавіка Google у смартфонах
NYT: Samsung падумвае адмовіцца ад пашукавіка Google у смартфонах
NYT: Google распрацоўвае AI-пашукавік праз папулярнасць ChatGPT
NYT: Google распрацоўвае AI-пашукавік праз папулярнасць ChatGPT
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Некогда шифровать, надо як як и в продакшн.