El nuevo autenticador de Google no está cifrado de extremo a extremo: una prueba

El nuevo autenticador de Google no está cifrado de extremo a extremo: una prueba

nuevo Herramienta de autenticación de dos factores de Google no está encriptado de extremo a extremo, lo que puede exponer a los usuarios a importantes riesgos de seguridad, según una prueba realizada por investigadores de seguridad.

Google Authenticator proporciona códigos únicos que los inicios de sesión en sitios web pueden solicitar como una segunda capa de seguridad además de las contraseñas. El lunes, Google anunció una función largamente esperada que le permite sincronizar su Autenticador con su cuenta de Google y usarlo en múltiples dispositivos. Esta es una gran noticia, porque en el pasado, podría haber terminado siendo bloqueado de su cuenta si perdiera el teléfono con la aplicación de autenticación instalada.

Pero cuando los desarrolladores de aplicaciones y los investigadores de seguridad de la empresa de software Mysk echaron un vistazo bajo el capó, descubrieron que los datos subyacentes no estaban cifrados de extremo a extremo.

“Probamos la función tan pronto como Google la lanzó. Nos dimos cuenta de que la aplicación no solicitaba ni ofrecía una opción para usar una frase de contraseña para proteger los secretos”, dijo Tommy Misk, uno de los investigadores que descubrió el problema, en una conversación con Gizmodo.

Cuando Musk y su socio, Talal Haj Bakri, analizaron el tráfico de la red mientras la aplicación se sincronizaba con los servidores de Google, descubrieron que los datos no estaban cifrados de extremo a extremo. Esto significa que Google puede ver los secretos, potencialmente incluso mientras están almacenados en sus servidores. Gorjeo. En la comunidad de seguridad, “secretos” es un término dado a las credenciales que sirven como clave para desbloquear una cuenta o herramienta.

Puede usar Google Authenticator sin vincularlo a su cuenta de Google o sincronizarlo entre dispositivos, lo que evita este problema. Desafortunadamente, esto significa que podría ser mejor evitar la característica útil que los usuarios han estado pidiendo a gritos durante años. “En pocas palabras: aunque la sincronización de los secretos de autenticación de dos factores entre dispositivos es conveniente, tiene un costo para su privacidad”, escribió Misk. Recomendamos usar la aplicación sin la nueva función de sincronización en este momento.

Las pruebas encontraron que el tráfico sin cifrar contiene una “ventaja inicial” que se utiliza para generar tokens de autenticación de dos factores. Según Mysk, cualquier persona con acceso a esta semilla puede generar sus propios códigos para sus cuentas y hackearlas.

“Si los servidores de Google son pirateados, se filtrarán los secretos”, dijo Misk. Para colmo de males, los códigos QR incluidos con la configuración de la autenticación de dos factores también contienen el nombre de la cuenta o el servicio (Amazon o Twitter, por ejemplo). “El atacante también podría ver qué cuentas tienes. Esto es especialmente arriesgado si eres un activista y administras otras cuentas en Twitter sin revelar tu identidad”.

Pero no solo tiene que preocuparse por los ciberdelincuentes. “Los empleados de Google o Google pueden acceder a estos datos”, dijo Misk.

Google reconoció que los datos no están encriptados de extremo a extremo, pero dijo que la función de seguridad llegará en algún momento.

“El cifrado de extremo a extremo (E2EE) es una característica poderosa que brinda protección adicional, pero a expensas de permitir a los usuarios proteger sus datos privados sin recuperación”, dijo Christian Brand, gerente de productos del grupo en Google. “Para asegurarnos de ofrecer una gama completa de opciones para los usuarios, también comenzamos a implementar E2EE opcional en algunos de nuestros productos, y planeamos ofrecer E2EE para Google Authenticator en el futuro”. Brandd publicó un tema de Twitter Con más detalle.

La falta de encriptación significa que, en teoría, Google podría mirar los datos y ver qué aplicaciones y servicios está utilizando, lo que puede ser valioso para varios propósitos, incluida la publicidad dirigida. “Permitir que un gigante tecnológico hambriento de datos como Google cree un gráfico de todas las cuentas y servicios que tiene cada usuario no es algo bueno”, dijo Misk.

El problema sorprende, dado el historial de Google con herramientas similares. Google tiene una función vagamente similar que le permite sincronizar datos de Google Chrome en todos los dispositivos. Allí, la empresa ofrece a los usuarios Opción de configuración de contraseña Para proteger esos datos de miradas indiscretas en Google y de cualquier otra persona que pueda interceptarlos.

Los secretos de autenticación de dos factores son datos confidenciales, al igual que las contraseñas. Google ya admite frases de contraseña para la sincronización de datos de Chrome. Así que esperábamos que los secretos de autenticación de dos factores fueran tratados de la misma manera”, dijo Misk.

Actualización, 26 de abril, 3:45 p. m. EST: Esta historia ha sido actualizada con un comentario de Google.

Leave a Reply

Your email address will not be published. Required fields are marked *