Google ha proporcionado a su autenticador una funcionalidad solicitada con frecuencia para realizar copias de seguridad o sincronizar las semillas secretas que crea un autenticador para contraseñas de un solo uso. Sin embargo, los secretos importantes no están tan seguros como cabría esperar.
Con la nueva sincronización, la autenticación se puede usar en varios dispositivos al mismo tiempo, por ejemplo, en teléfonos inteligentes iOS y Android. Si se pierde un dispositivo, puede configurar la autenticación en un nuevo teléfono inteligente con él, por ejemplo.
Autenticador de Google: sin cifrado de extremo a extremo
Sin embargo, al analizar el tráfico de la red, los desarrolladores de una aplicación de iOS con el nombre de Twitter Mysk descubrieron que la aplicación enviaba estos secretos a Google en texto sin formato: los datos ultrasecretos se protegieron en el transporte con TLS, pero no de extremo a extremo. Cifrado (E2E). Por ejemplo, estos datos pueden ser leídos por Google.
Hayes Security pudo reproducir el problema con la versión de Google Authenticator en Android 13 que estaba vigente en el momento del informe. Nuestro secreto TOTP fue a Google cuando se sincronizó a través de Internet. Como ser humano, pude rastrearlo en el flujo de datos con la codificación Base32. Incluso estaba en la configuración de Google. Cifrado en el dispositivo Habilitado, esto garantiza que el administrador de contraseñas de Google almacene solo contraseñas protegidas por E2E. Esperamos la debida protección de los secretos TOTP.
él puede entender el problema de seguridad: la semilla secreta pasa por encima de la línea en texto sin formato durante la sincronización.
(Imagen: Captura de pantalla / Rei)
Cifrado de extremo a extremo de última generación
El cifrado E2E para secretos importantes como contraseñas y contraseñas ahora es lo último en tecnología. Esto garantiza que no solo el usuario, sino también un proveedor de servicios, o un intruso con él, tenga acceso a estos datos esenciales. Después de una larga vacilación, Google también reconoce esto y protege las contraseñas con protección E2E. Ahora incluso Google Password Manager puede hacer esto.
La semilla sincronizada es el secreto utilizado por el autenticador para calcular el código actual para el inicio de sesión seguro de dos factores. Si ya tienen una contraseña, los atacantes pueden usarla para eludir la autenticación de dos factores y acceder a las cuentas protegidas con ella. Por lo tanto, una copia de seguridad debe protegerse de tal manera que solo los usuarios auténticos puedan acceder a ella. El cifrado E2E de contraseñas y claves de paso mencionado anteriormente demuestra que Google puede hacer esto.
Por lo tanto, actualmente sincronizar secretos en Google Authenticator no es una buena idea, Resume Misc en Twitter. Tal como está, Hayes Security desaconseja usar el autenticador por completo, ya que no puede descartar drenajes no deseados de semillas, por ejemplo, si habilita accidentalmente la sincronización. Otras aplicaciones como Authy también ofrecen sincronización y copia de seguridad de los secretos TOTP, pero los protegen con una contraseña maestra que solo el usuario conoce.
Cualquiera que ya haya activado Backup primero debe desactivarlo nuevamente y restablecer las semillas de dos factores de todas las cuentas administradas con Authenticator. Esto puede restaurar la confidencialidad.
Google aún no ha respondido a las preguntas sobre si la empresa tiene la intención de confirmar y corregir el comportamiento de las copias de seguridad. Mysk ya detectó varias aplicaciones de autenticación maliciosas en Apple Store y Google Play a fines de febrero. En ese momento, caracterizaron el problema como «robo de datos malicioso» o «planeado de manera incompetente».
(DMK)
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
