A principios de esta semana, Google actualizó su aplicación Authenticator para habilitar la copia de seguridad y la sincronización de códigos 2FA en dispositivos que usan una cuenta de Google. Ahora, un examen realizado por los investigadores de seguridad de Mysk ha descubierto que los códigos de acceso confidenciales de un solo uso que se sincronizan con la nube no están cifrados de extremo a extremo, lo que los deja potencialmente expuestos a los malos actores.
Antes de la integración del soporte de la cuenta de Google, todos los códigos en la aplicación Google Authenticator se almacenaban en el dispositivo, lo que significaba que si el dispositivo se perdía, también lo hacían los códigos de acceso únicos, lo que podría causar la pérdida del acceso a la cuenta también. Pero parece que al habilitar la sincronización basada en la nube, Google ha expuesto a los usuarios a un riesgo de seguridad de otro tipo.
«Analizamos el tráfico de la red cuando la aplicación sincroniza los secretos y resulta que el tráfico no está encriptado de extremo a extremo», dijo Mysk a través de Gorjeo. «Esto significa que Google puede ver los secretos, probablemente incluso mientras están almacenados en sus servidores. No hay opción para agregar una frase de contraseña para proteger los secretos, para que solo el usuario pueda acceder a ellos».
«Misterios» es un término utilizado para referirse a piezas de información privada que actúan como claves para desbloquear recursos protegidos o información confidencial; en este caso, códigos de acceso de un solo uso.
Mysk dijo que sus pruebas encontraron que el tráfico sin cifrar contiene una «semilla» que se usa para generar los códigos 2FA. Según los investigadores, cualquier persona con acceso a esa semilla puede generar sus propios códigos para las mismas cuentas e ingresar a ellas.
«Si los servidores de Google estuvieran comprometidos, los secretos se filtrarían», dijo Mysk. gizmodo. Dado que los códigos QR relacionados con la configuración de la autenticación de dos factores contienen el nombre de la cuenta o el servicio, el atacante también puede identificar las cuentas. «Esto es particularmente arriesgado si eres un activista y administras otras cuentas de Twitter de forma anónima», agregaron los investigadores.
Posteriormente, Mysk aconsejó a los usuarios que no habiliten la función de la cuenta de Google que sincroniza los códigos 2FA entre dispositivos y la nube.
Google acaba de actualizar su aplicación 2FA Authenticator y agregó una función muy necesaria: la capacidad de sincronizar secretos entre dispositivos. TL; DR: No lo encienda. La nueva actualización permite a los usuarios iniciar sesión con su cuenta de Google y sincronizar los secretos 2FA en sus dispositivos iOS y Android… pic.twitter.com/a8hhelupZR
— Mysk ???? (@mysk_co) 26 de abril de 2023
En respuesta a la advertencia, un portavoz de Google dijo CNET había agregado la función de sincronización temprano por conveniencia, pero ese cifrado de extremo a extremo aún está en camino:
El cifrado de extremo a extremo (E2EE) es una característica poderosa que proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados y no puedan recuperar sus propios datos. Para asegurarnos de ofrecer un conjunto completo de opciones para los usuarios, también comenzamos a implementar E2EE opcional en algunos de nuestros productos, y planeamos ofrecer E2EE para Google Authenticator en el futuro».
Hasta que eso suceda, existen servicios alternativos para sincronizar códigos de autenticación entre dispositivos, como el propio generador de códigos 2FA de Apple y aplicaciones de terceros como autista.