Seguridad: los investigadores de seguridad advierten sobre la nueva funcionalidad 2FA de Google

Después de que Google presentó una actualización de su aplicación de autenticación 2FA, hubo críticas a la implementación de sincronización recién introducida: las claves a partir de las cuales la aplicación genera tokens TOTP se almacenan en texto sin formato en Google y no como las contraseñas de sincronización, por ejemplo, con cifrado final. Google ahora respondió a las críticas y anunció que protegerá las claves TOTP en el futuro.

Los investigadores de seguridad de Mysk señalaron el comportamiento en Twitter. Analizaron el tráfico de red de la aplicación y pudieron leer la clave TOTP durante la transmisión. A pesar de que están encriptados entre la aplicación y el servidor (cifrado de transporte), están llegando Sin embargo, Google puede aprender secretos, quizás incluso mientras están almacenados en sus servidores. Escriba a los investigadores de seguridad en Twitter.

“no lo enciendas”

“Si alguien más conoce el secreto, puede generar los mismos códigos de un solo uso y eludir la protección 2FA. Entonces, si ocurre una violación de datos o alguien obtiene acceso a su cuenta de Google, todos sus secretos de autenticación de dos factores están en riesgo. ” Los investigadores de seguridad explican el problema detrás de esto. Además de los códigos 2FA, también se incluyen proveedores de servicios y/o nombres de cuentas, información que Google puede usar para publicidad personalizada.

La conclusión de los investigadores de seguridad sobre la sincronización de claves TOTP es breve: “No lo enciendas”.

explicó Christian Brand, Gerente de Producto Responsable de Identidad y Seguridad en Google en TwitterEste cifrado adicional de extremo a extremo del autenticador está previsto para el futuro. Dicho sistema ya está integrado en muchos productos de Google y brinda una sólida protección adicional, pero siempre existe el riesgo de que los usuarios se encierren en él y no puedan acceder a sus datos privados.