Коды Google Authenticator при синхронизации с облаком не шифруются — риск взлома высокий

До этого одноразовые пароли аутентификации генерировались только на устройстве. Потеря гаджета могли привести к тому, что пользователю не было доступен аккаунт, который связан с Google Authenticator. Новая функция решила эту проблему, но принесла другую. Эксперты Mysk обнаружили, что при синхронизации кодов трафик не шифруется «из конца в конец». В незашифрованном трафике есть seed-информация, которая позволяет злоумышленникам генерировать свои коды.

Хакеры могут идентифицировать аккаунты по QR-кодам, которые используются для настройки двухэтапной аутентификации. В них содержится название аккаунта или сервиса. При взломе серверов Google гипотетически может произойти массовая утечка. При этом у пользователя нет возможности добавить парольную фразу, чтобы сделать пароли доступными только для владельца аккаунта. Эксперты посоветовали не включать новую функцию. Компания ответила, что сквозное шифрование аккаунтов появится в будущем.