Η Google σχεδιάζει να προσθέσει κρυπτογράφηση από άκρο σε άκρο στο Authenticator

Το Google Authenticator αποκτά κρυπτογράφηση από άκρο σε άκρο - τελικά. Αφού ερευνητές ασφαλείας επέκριναν την εταιρεία για τη μη συμπερίληψή της στην ενημέρωση συγχρονισμού λογαριασμών του Authenticator, ο διευθυντής προϊόντων της Google Christiaan Brand απάντησε στο Twitter λέγοντας ότι η εταιρεία έχει "σχέδια να προσφέρει E2EE" στο μέλλον. Πιο συγκεκριμένα δήλωσε ότι "αυτή τη στιγμή, πιστεύουμε ότι το τρέχον προϊόν μας επιτυγχάνει τη σωστή ισορροπία για τους περισσότερους χρήστες και παρέχει σημαντικά πλεονεκτήματα σε σχέση με τη χρήση εκτός σύνδεσης. Ωστόσο, η δυνατότητα χρήσης της εφαρμογής εκτός σύνδεσης θα παραμείνει μια εναλλακτική λύση για όσους προτιμούν να διαχειρίζονται μόνοι τους τη στρατηγική δημιουργίας αντιγράφων ασφαλείας".

Νωρίτερα αυτή την εβδομάδα, το Google Authenticator άρχισε επιτέλους να δίνει στους χρήστες τη δυνατότητα συγχρονισμού των κωδικών ελέγχου ταυτότητας δύο παραγόντων με τους λογαριασμούς τους Google, καθιστώντας πολύ πιο εύκολη την είσοδο σε λογαριασμούς σε νέες συσκευές. Αν και αυτή είναι μια ευπρόσδεκτη αλλαγή, δημιουργεί επίσης κάποιες ανησυχίες για την ασφάλεια, καθώς οι χάκερς που παραβιάζουν το λογαριασμό Google κάποιου θα μπορούσαν ενδεχομένως να αποκτήσουν πρόσβαση σε ένα σωρό άλλους λογαριασμούς ως αποτέλεσμα. Εάν η λειτουργία υποστήριζε το E2EE, οι χάκερ και άλλοι τρίτοι, συμπεριλαμβανομένης της Google, δεν θα μπορούσαν να δουν αυτές τις πληροφορίες.

Οι ερευνητές ασφαλείας Mysk υπογράμμισαν μερικούς από αυτούς τους κινδύνους σε μια ανάρτηση στο Twitter, σημειώνοντας ότι "αν υπάρξει ποτέ παραβίαση δεδομένων ή αν κάποιος αποκτήσει πρόσβαση στο λογαριασμό σας Google, όλα τα μυστικά σας 2FA θα εκτεθούν σε κίνδυνο". Πρόσθεσαν ότι η Google θα μπορούσε δυνητικά να χρησιμοποιήσει τις πληροφορίες που συνδέονται με τους λογαριασμούς σας για να προβάλλει εξατομικευμένες διαφημίσεις και συμβούλευσαν επίσης τους χρήστες να μην χρησιμοποιούν τη λειτουργία συγχρονισμού μέχρι να υποστηριχθεί το E2EE.

Η Brand αντέδρασε στην κριτική, δηλώνοντας ότι ενώ η Google κρυπτογραφεί "τα δεδομένα κατά τη μεταφορά και σε κατάσταση ηρεμίας, σε όλα τα προϊόντα μας, συμπεριλαμβανομένου του Google Authenticator", η εφαρμογή του E2EE έρχεται με το "κόστος που επιτρέπει στους χρήστες να αποκλείονται από τα δικά τους δεδομένα χωρίς ανάκτηση". Ωστόσο, δεν υπάρχει ακόμη χρονοδιάγραμμα για το πότε η Google θα φέρει πραγματικά το E2EE στη νέα λειτουργία συγχρονισμού λογαριασμών του Authenticator, αφήνοντας στους χρήστες την επιλογή να χρησιμοποιούν τη λειτουργία χωρίς E2EE ή απλά να συνεχίσουν να χρησιμοποιούν το Google Authenticator εκτός σύνδεσης.