文/李建興 | 2023-04-28發表
Mysk資安研究人員提醒Google Authenticator使用者,先別急著啟用新加入的帳號同步功能,因為Google並未在同步中使用端到端加密,用戶的雙因素驗證二維碼可能有洩漏風險,而Google則回應,之後計畫添加端到端加密功能,確保雙因素驗證秘密資訊同步的安全性。
Google在身分驗證應用程式Authenticator新添加同步功能,供使用者將該程式用於產生一次性驗證碼的雙因素驗證二維碼備份到Google帳號中,方便用戶在更換裝置時,依然能夠重新安裝Authenticator,並且繼續用於登入受Authenticator雙因素驗證保護的帳號。
雖然這項功能很方便,但是也存在安全風險,Mysk公司的資安研究人員提到,他們分析應用程式同步秘密時的流量,發現該流量並沒有經端到端加密。Google沒有提供密碼保護Authenticator秘密資訊只能由用戶存取,也就是說,Google或是第三者能夠看到使用者的秘密資訊。
由於雙因素驗證二維碼可用於生成用戶專屬的一次性驗證碼,當有其他人知道這個秘密,就能夠用來生成相同的一次性驗證碼,破壞雙因素驗證的保護,所以只要發生資料洩漏,或是惡意人士非法存取使用者的Google帳戶,雙因素驗證的秘密資訊便會洩漏。
不只如此,因為雙因素驗證的二維碼通常包含帳戶名稱和服務名稱,因此Google可以透過分析這些資料,知道使用者所使用的線上服務,並且可能將這些資訊用於個人化廣告。
Google身分與安全產品經理Christiaan Brand則在推特上回應,雖然端到端加密能夠提供強大的保護,但是缺點是在部分情況下,用戶可能無法恢復遭到鎖定的資料,他表示,對大多數使用者來說,目前Authenticator的功能在安全和方便性取得平衡,但是他們也計畫會在Authenticator提供端到端加密功能,對於更注重安性的人,他建議可以先使用離線模式。
線