Коды Google Authenticator пры сінхранізацыі з воблакам не шыфруюцца — рызыка ўзлому высокая

Дагэтуль аднаразовыя паролі аўтэнтыфікацыі генераваліся толькі на прыладзе. Страта гаджата маглі прывесці да таго, што карыстальніку не быў даступны акаўнт, звязаны з Google Authenticator. Новая функцыя вырашыла гэтую праблему, але прынесла іншую. Эксперты Mysk выявілі, што пры сінхранізацыі кодаў трафік не шыфруецца «з канца ў канец». У незашыфраваным трафіку ёсць seed-інфармацыя, якая дазваляе зламыснікам генераваць свае коды.

Хакеры могуць ідэнтыфікаваць акаўнты па QR-кодах, якія выкарыстоўваюцца для наладжвання двухэтапнай аўтэнтыфікацыі. У іх утрымліваецца назва акаўнта або сэрвісу. Пры ўзломе сервераў Google гіпатэтычна можа адбыцца масавая ўцечка. Пры гэтым у карыстальніка няма магчымасці дадаць парольную фразу, каб зрабіць паролі даступнымі толькі для ўладальніка акаўнта. Эксперты параілі не ўключаць новай функцыі. Кампанія адказала, што скразное шыфраванне акаўнтаў з’явіцца ў будучыні.