Ein neuer Zwei-Faktor-Authentifizierungstool von Google ist nicht Ende-zu-Ende verschlüsselt, was Benutzer erheblichen Sicherheitsrisiken aussetzen könnte, wie ein Test von Sicherheitsforschern ergab.
Die Authenticator-App von Google bietet eindeutige Codes, nach denen Website-Logins als zweite Sicherheitsebene zusätzlich zu Passwörtern fragen können. Am Montag kündigte Google eine lang erwartete Funktion an, mit der Sie Authenticator mit einem Google-Konto synchronisieren und auf mehreren Geräten verwenden können. Das sind großartige Neuigkeiten, denn in der Vergangenheit konnte es passieren, dass Sie aus Ihrem Konto ausgesperrt wurden, wenn Sie das Telefon mit installierter Authentifizierungs-App verloren haben.
Aber als App-Entwickler und Sicherheitsforscher des Softwareunternehmens Mysk einen Blick unter die Haube warf, stellten sie fest, dass die zugrunde liegenden Daten nicht Ende-zu-Ende-verschlüsselt sind.
„Wir haben die Funktion getestet, sobald Google sie veröffentlicht hat. Wir stellten fest, dass die App nicht aufforderte oder eine Option zur Verwendung einer Passphrase zum Schutz der Geheimnisse bot“, sagte Tommy Mysk, einer der Forscher, die das Problem aufdeckten, in einem Gespräch mit Gizmodo.
Als Mysk und sein Partner Talal Haj Bakry den Netzwerkverkehr analysierten, während die App mit den Google-Servern synchronisiert wurde, stellten sie fest, dass die Daten nicht Ende-zu-Ende verschlüsselt sind. „Das bedeutet, dass Google die Geheimnisse sehen kann, wahrscheinlich sogar während sie es sind auf ihren Servern gespeichert“, schrieb das Mysk-Team weiter Twitter. In der Sicherheits-Community ist „Geheimnisse“ der Begriff für Anmeldeinformationen, die als Schlüssel zum Entsperren eines Kontos oder eines Tools dienen.
Sie können Google Authenticator verwenden, ohne es an Ihr Google-Konto zu binden oder es geräteübergreifend zu synchronisieren, wodurch dieses Problem vermieden wird. Leider bedeutet dies, dass es am besten ist, eine nützliche Funktion zu vermeiden, nach der Benutzer jahrelang schreien. „Das Fazit: Obwohl die geräteübergreifende Synchronisierung von 2FA-Geheimnissen praktisch ist, geht dies zu Lasten Ihrer Privatsphäre“, schrieb Mysk. „Wir empfehlen, die App vorerst ohne die neue Synchronisierungsfunktion zu verwenden.“
Die Tests ergaben, dass der unverschlüsselte Datenverkehr einen „Seed“ enthält, der zum Generieren der Zwei-Faktor-Authentifizierungscodes verwendet wird. Laut Mysk kann jeder, der Zugriff auf diesen Seed hat, seine eigenen Codes für Ihre Konten generieren und einbrechen.
„Wenn Google-Server kompromittiert würden, würden Geheimnisse durchsickern“, sagte Mysk. Erschwerend kommt hinzu, dass QR-Codes, die mit der Einrichtung der Zwei-Faktor-Authentifizierung verbunden sind, auch den Namen des Kontos oder Dienstes enthalten (z. B. Amazon oder Twitter). „Der Angreifer kann auch wissen, welche Konten Sie haben. Das ist besonders riskant, wenn man ein Aktivist ist und andere Twitter-Konten anonym betreibt.“
Aber es sind nicht nur Cyberkriminelle, vor denen Sie sich Sorgen machen müssen. „Google oder Google-Mitarbeiter können auf diese Daten zugreifen“, sagte Mysk.
Google räumte ein, dass die Daten nicht Ende-zu-Ende verschlüsselt sind, sagte aber, dass die Sicherheitsfunktion irgendwann kommt.
„End-to-End Encryption (E2EE) ist eine leistungsstarke Funktion, die zusätzlichen Schutz bietet, jedoch auf Kosten der Möglichkeit, dass Benutzer ohne Wiederherstellung aus ihren eigenen Daten ausgesperrt werden“, sagte Christiaan Brand, Group Product Manager bei Google. „Um sicherzustellen, dass wir unseren Benutzern alle Optionen anbieten, haben wir auch damit begonnen, optional E2EE in einigen unserer Produkte einzuführen, und wir planen, E2EE für Google Authenticator in Zukunft anzubieten.“ Brand hat a gepostet Twitter-Thread mit mehr Details.
Das Fehlen einer Verschlüsselung bedeutet, dass Google theoretisch die Daten einsehen und herausfinden könnte, welche Apps und Dienste Sie verwenden, was für eine Reihe von Zwecken, einschließlich gezielter Werbung, wertvoll sein kann. „Es ist keine gute Sache, einem datenhungrigen Technologieriesen wie Google zu erlauben, ein Diagramm aller Konten und Dienste zu erstellen, die jeder Benutzer hat“, sagte Mysk.
Das Problem kommt angesichts der Geschichte von Google mit ähnlichen Tools überraschend. Google hat eine vage ähnliche Funktion, mit der Sie Daten von Google Chrome geräteübergreifend synchronisieren können. Dort vermittelt das Unternehmen Nutzer die Möglichkeit, ein Passwort einzurichten um diese Daten zu schützen, sie vor neugierigen Blicken von Google fernzuhalten und sie vor allen anderen zu schützen, die sie abfangen könnten.
„2FA-Geheimnisse gelten ebenso wie Passwörter als sensible Daten. Google unterstützt bereits Passphrasen für die Synchronisierung von Chrome-Daten. Wir haben also erwartet, dass 2FA-Geheimnisse gleich behandelt werden“, sagte Mysk.
Update, 26. April, 15:45 Uhr EST: Diese Geschichte wurde mit einem Kommentar von Google aktualisiert.