(https://i.postimg.cc/j5Q1NzxG/Google-Authenticator.png) (https://postimages.org/)
La actualización reciente de Google a su aplicación de autenticación carece de cifrado de extremo a extremo (E2E), lo que pone en peligro la seguridad del usuario, según creen los investigadores.
"No lo enciendas". Ese es el veredicto del dúo de investigadores Mysk después de analizar la actualización de Google de la aplicación Authenticator.
(https://i.postimg.cc/9FNnGX2F/Mysk-mysk-co-Twitter-1.png) (https://postimages.org/)
(https://i.postimg.cc/13nYMxR0/Mysk-mysk-co-Twitter-2.png) (https://postimages.org/)
La reacción se produce solo dos días después de que Google anunciara que las versiones de Android e iOS de Authenticator permitirían a los usuarios hacer una copia de seguridad de las contraseñas de un solo uso (OTP) en su cuenta de Google.
Sin encriptación, Google puede observar los datos, llamados "secreto" o "semilla", que le permiten generar OTP. Los investigadores suponen que es probable que estén almacenados en los servidores del gigante del software.
Esto tiene sentido, ya que la idea detrás de la actualización de Authenticator era permitir a los usuarios sincronizar OTP entre dispositivos, con la cuenta de Google como punto de contacto para diferentes dispositivos.
Si los atacantes de alguna manera penetraran las defensas de Google y accedieran a los secretos, podrían derrotar la protección que brinda la aplicación Authenticator. Teóricamente, eso permitiría a los actores de amenazas acceder a varias cuentas que se supone que la aplicación de Google ayuda a proteger.
Si bien la falta de cifrado E2E podría resolverse al permitir que los usuarios agreguen una frase de contraseña o un código para que solo ellos puedan acceder a las cuentas, los investigadores de Mysk afirman que Google no ofrece esta opción.
"¿Por qué es esto malo? [...] Si alguna vez hay una violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA [autenticación de dos factores] se verán comprometidos", dijeron los investigadores.
Otra razón para no apresurarse con la adopción de la actualización del Autenticador es la privacidad. Dado que los códigos QR que emplean los usuarios sincronizan sus dispositivos con una cuenta específica, Google podría usar esta información para enviarles anuncios dirigidos. No es que necesariamente lo haría, pero la opción está ahí, sin embargo.
Aunque los investigadores de Mysk no pudieron obtener los secretos al descargar todos los datos asociados con la cuenta de Google que usaron para la prueba, el veredicto siguió siendo una recomendación de "usar la aplicación sin la nueva función de sincronización".
E2EE llega a Google Authenticator
Google escuchó las preocupaciones de los usuarios sobre la falta de cifrado de extremo a extremo y dijo que lo agregaría a una versión futura de Google Authenticator.
El gerente de productos del grupo Google, Christiaan Brand, le dijo a BleepingComputer que debido a la posibilidad de que el cifrado de extremo a extremo provoque que los usuarios queden bloqueados de sus propios datos, están implementando esta función cuidadosamente en sus productos.
"La seguridad de nuestros usuarios es fundamental para todo lo que hacemos en Google y es una responsabilidad que nos tomamos muy en serio. La actualización reciente de la aplicación Google Authenticator se realizó con esa misión en mente y tomamos medidas cuidadosas para asegurarnos de poder ofrecerla a los usuarios de una manera que proteja su seguridad y privacidad, pero que también sea útil y conveniente", dijo Brand.
"Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator. El cifrado de extremo a extremo (E2EE) es una característica poderosa que proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados de sus propios datos sin recuperación. Para asegurarnos de que estamos ofreciendo un conjunto completo de opciones para los usuarios, también hemos comenzado a implementar E2EE opcional en algunos de nuestros productos, y planeamos ofrecer E2EE para Google Authenticator en el futuro".
Google también proporciona cifrado E2E en algunos de sus servicios, como Google Chrome, que le permite establecer una frase de contraseña para cifrar los datos sincronizados con las cuentas de Google.
Fuente:
CyberNews
https://cybernews.com/news/google-authenticator-lacks-encryption/
BleepingComputer
https://www.bleepingcomputer.com/news/google/google-will-add-end-to-end-encryption-to-google-authenticator/