O backup na nuvem implementado no Google Authenticator recentemente foi uma grande vitória para os usuários do serviço, pois sem ele era necessário realizar um processo difícil para recuperar os dados de acesso ao trocar de aparelho. Para recuperar as informações, basta que a pessoa acesse sua Conta Google, pois elas ficarão armazenadas lá agora. Entretanto nem tudo são flores, pois está ausente a criptografia de ponta a ponta.
Google Authenticator: backup sem criptografia de ponta a ponta
De acordo com os pesquisadores de segurança da Mysk, empresa de cibersegurança, a sincronização das senhas de acesso armazenadas no Google Authenticator com os dispositivos utilizados para acesso não possui criptografia de ponta a ponta (E2E). Caso você não saiba, o Google Authenticator é utilizado para realizar a autenticação de dois fatores (2FA) através de códigos de uso único (OTP), onde após alguns segundos, a senha gerada pelo app expira e muda o tempo todo. Como não há criptografia E2E no novo recurso, é possível que um invasor comprometa a sua rede, conta do Google ou infraestrutura relacionada para acessar as senhas facilmente, obtendo as senhas de uso único.
[...] 2FA QR codes normalmente contêm outras informações, como nome da conta e o nome do serviço (por exemplo, Twitter, Amazon, etc). Como o Google pode ver todos esses dados, ele sabe quais serviços on-line você usa e pode usar essas informações para anúncios personalizados.
Surpreendentemente, as exportações de dados do Google não incluem os segredos 2FA armazenados na Conta do Google do usuário. Baixamos todos os dados associados à conta do Google que usamos e não encontramos vestígios dos segredos 2FA.
Conclusão: embora a sincronização de segredos 2FA entre dispositivos seja conveniente, isso prejudica sua privacidade. Felizmente, o Google Authenticator ainda oferece a opção de usar o aplicativo sem fazer login ou sincronizar segredos. Recomendamos usar o aplicativo sem o novo recurso de sincronização por enquanto.
Google admite que a criptografia E2E está ausente no novo recurso
O Google chegou a admitir que a criptografia de ponta a ponta (E2E) não está presente no novo recurso de backup do Google Authenticator. Segundo a empresa, o motivo disso é o desejo de adicionar uma funcionalidade muito solicitada pelos usuários, mas é dito que já havia planos para implementar a criptografia E2E posteriormente. Em entrevista ao site CNET, um porta-voz do Google disse:
Criptografia de ponta a ponta (E2EE) é um recurso poderoso que oferece proteção extra, mas ao custo de permitir que os usuários fiquem bloqueados de seus próprios dados sem recuperação. Para garantir que estamos oferecendo um conjunto completo de opções para os usuários, também começamos a implementar o E2EE opcional em alguns de nossos produtos e planejamos oferecer o E2EE para o Google Authenticator no futuro.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.