Google Authenticator не использует сквозное шифрование при облачной синхронизации. Компания обещает добавить его в будущем
itc.uaНесколько дней назад компания Google добавила облачную синхронизацию аккаунтов в сервис Google Authenticator. Тогда сообщалось, что облачная синхронизация может понизить общий уровень безопасности, если злоумышленник сможет взломать учётную запись пользователя.
Но оказалось, что это не единственная угроза безопасности. В Mysk провели исследование безопасности и обнаружили, что конфиденциальные одноразовые коды доступа, синхронизируемые с облаком, не зашифрованы сквозным шифрованием, что делает их потенциально уязвимыми для злоумышленников. «Мы проанализировали сетевой трафик, когда приложение синхронизирует секреты, и оказалось, что трафик не зашифрован сквозным образом», — заявляет Mysk. «Это означает, что Google может видеть секреты, вероятно, даже когда они хранятся на их серверах.