Google, araştırmacılar kullanıcıları Google hesaplarıyla senkronize etmeye karşı uyardıktan sonra Google Authenticator Cloud yedeklemelerine uçtan uca şifreleme getiriyor.
Bu hafta, Google Authenticator nihayet 2FA jetonlarını buluta yedekleyebilmenin uzun zamandır beklenen özelliğini almıştı.
Bu yeni özellik, kullanıcıların Google Authenticator 2FA jetonlarını Google hesaplarıyla senkronize etmelerini sağlar ve mobil cihazlarının kaybolması veya hasar görmesi durumunda bir yedekleme sağlar.
Ayrıca, kullanıcıların hepsi aynı Google hesabına giriş yapıldığı sürece 2FA jetonlarına birden çok cihazda erişmelerine olanak tanır.
Ancak, Google Authenticator Cloud Sync'in açıklanmasından kısa bir süre sonra, MySK'daki güvenlik araştırmacıları, Google’ın sunucularına yüklenirken verilerin uçtan uca şifrelenmediğini keşfettiler.
Mysk'ten bir tweet, "Uygulama sırları senkronize ettiğinde ağ trafiğini analiz ettik ve trafiğin uçtan uca şifrelenmediği ortaya çıkıyor."
"Ekran görüntülerinde gösterildiği gibi, Google'ın sıraları, muhtemelen sunucularında saklanırken bile sırları görebileceği anlamına gelir. Sırları korumak, sadece kullanıcı tarafından erişilebilir hale getirmek için bir parola ekleme seçeneği yoktur."
Uçtan uca şifreleme, verilerin bir cihazda yalnızca sahibi tarafından iletilmeden önce bilinen ve başka bir cihazda saklanmadan önce bilinen bir şifre kullanılarak şifrelenmesidir. Bu veriler şifrelendiğinden, verilerin depolandığı sunucuya erişimi olanlar bile artık başkaları tarafından erişilemez.
Google Authenticator uçtan uca şifreleme sunmadığından, veriler Google'ın sunucusunda, bir Google ihlali veya vicdansız bir çalışan aracılığıyla yetkisiz kullanıcıların potansiyel olarak erişebileceği bir biçimde saklanır.
Mysk, "Her 2FA QR kodu, tek seferlik kodları oluşturmak için kullanılan bir sır veya tohum içerir. Birisi sırrı biliyorsa, aynı bir kerelik kodları oluşturabilir ve 2FA korumalarını yenebilir."
"Yani, bir veri ihlali varsa veya birisi Google hesabınıza erişirse, tüm 2FA sırlarınız tehlikeye girer."
Bir başka popüler kimlik doğrulayıcı uygulaması olan Authy, uçtan uca şifreli 2FA jetonlarının bulut yedeklemeleri sunduğu için yıllar boyunca popülerlik kazandı.
Bu özelliği Authy'de kullanırken, kullanıcıların yalnızca bildikleri bir şifre girmesi ve yüklenen verilerin mobil cihazlarından ayrılmadan önce şifrelenmesine neden olması gerekir.
Ayrıca, Authy, uçtan uca bir şifreleme şifresi ayarlanmadıkça verilerin yedeklenmesine izin vermez ve daha iyi güvenlik sağlar.
Bununla birlikte, bu özellik bir risk oluşturmaktadır, çünkü kullanıcılar verilerinden kilitlenebilir ve şifreyi kaybederse onu başka bir cihaza geri yükleyemez.
Google, kullanıcıların uçtan uca şifreleme eksikliği konusunda endişelerini duydu ve bunu Google Authenticator'ın gelecekteki bir sürümüne ekleyeceklerini söyledi.
Google Group Ürün Yöneticisi Christiaan Brand, BleepingComputer'a uçtan uca şifreleme olasılığı nedeniyle kullanıcıların kendi verilerinden kilitlenmelerine neden oldukları için, bu özelliği ürünlerinde dikkatlice yayınladıklarını söyledi.
“Kullanıcılarımızın güvenliği ve güvenliği Google'da yaptığımız her şey için çok önemlidir ve ciddiye aldığımız bir sorumluluktur. Google Authenticator uygulamasında yapılan son güncelleme, bu görevi göz önünde bulundurarak yapıldı ve kullanıcılara güvenlik ve gizliliklerini koruyacak şekilde sunabildiğimizden emin olmak için dikkatli adımlar attık, ancak aynı zamanda yararlı ve kullanışlı ”dedi. BleepingComputer.
"Google Authenticator da dahil olmak üzere ürünlerimiz arasında transit ve dinlenmede verileri şifreliyoruz. Uçtan uca şifreleme (E2EE), ekstra koruma sağlayan güçlü bir özelliktir, ancak kullanıcıların kilitlenmesini sağlama pahasına Kendi verileri kurtarmadan. Kullanıcılar için tam bir dizi seçenek sunduğumuzdan emin olmak için, bazı ürünlerimizde isteğe bağlı E2EE'yi kullanıma sunmaya başladık ve gelecekte Google Authenticator için E2EE sunmayı planlıyoruz. "
Google ayrıca Google Chrome gibi bazı hizmetlerinde E2E şifrelemesi sağlar ve bu da Google hesaplarıyla senkronize edilmiş verileri şifrelemek için bir parola ayarlamanızı sağlar.
Google Authenticator artık 2FA kodlarınızı buluta yedekliyor
GitHub, aktif geliştiriciler için 2FA'yı önümüzdeki hafta zorunlu hale getiriyor
GitHub, tüm kullanıcıların 2023 sonuna kadar 2FA'yı etkinleştirmesini isteyecek
Google: Gmail istemci tarafı şifrelemesi artık herkese açık olarak mevcut
Mantiant’ın My Flu Etkinliği, Güvenliğin En İyi Olduğu Yerdir
Kaynak: Bleeping Computer