Google в недавнем обновлении Authenticator анонсировала поддержку резервного копирования и синхронизации паролей двухэтапной аутентификации на устройствах с аккаунтом Google. Эксперты по кибербезопасности из Mysk обнаружили, что при синхронизации кодов с облаком не используется end-to-end шифрование. 

Ранее одноразовые коды аутентификации генерировались исключительно на устройстве. При его утере владелец мог также лишиться доступа к аккаунтам, которые связаны с Google Authenticator. Новая функция должна была решить эту проблему.

Специалисты обнаружили в незашифрованном трафике seed-информацию, доступ к которой позволит хакерам генерировать собственные одноразовые коды.

Поскольку QR-коды, используемые для настройки двухэтапной аутентификации, содержат название аккаунта или сервиса, злоумышленники могут идентифицировать аккаунты, поэтому риск взлома учётных записей, связанных с Google Authenticator, оценили как высокий.

По словам экспертов, при взломе серверов Google, на которых теперь могут храниться одноразовые пароли двухфакторной аутентификации, произошла бы масштабная утечка.

Проблема заключается в том, что для защиты этих одноразовых паролей нет возможности добавить парольную фразу, чтобы сделать их доступными только для пользователя. 

В Mysk не советуют включать новую функцию.

В Google уже сообщили, что внедрят сквозное шифрование в будущем: «Чтобы гарантировать, что мы предлагаем пользователям полный набор возможностей, мы также начали внедрять опциональное E2EE в некоторые наши продукты, и мы планируем предложить E2EE для Google Authenticator в будущем».

Существуют доступные альтернативы Authenticator, такие как Authy, Duo и другие.