Recientemente, Google le dio a su Autenticador una funcionalidad solicitada con frecuencia para realizar copias de seguridad o sincronizar semillas secretas a partir de las cuales el autenticador genera contraseñas de un solo uso. Sin embargo, los secretos confidenciales no son tan seguros como cabría esperar.
Con la nueva sincronización, la autenticación se puede usar en muchos dispositivos al mismo tiempo, por ejemplo, en teléfonos inteligentes iOS y Android. Y si se pierde un dispositivo, se puede configurar la autenticación con él en un nuevo teléfono inteligente, por ejemplo.
Autenticador de Google: sin cifrado de extremo a extremo
Sin embargo, al examinar el tráfico de la red, los desarrolladores de la aplicación iOS que se conoce con el nombre de Twitter Mysk descubrieron que la aplicación envía estos secretos a Google en texto sin formato: la transmisión de datos de alto secreto está protegida mediante TLS, pero no de extremo a extremo. fin. cifrado (E2E). Estos datos pueden ser leídos por Google, por ejemplo.
heise Security pudo reproducir el problema con la versión de Google Authenticator en Android 13 que estaba presente en el momento del informe. Nuestro secreto TOTP fue a Google cuando se sincronizó en la web. Como hombre en el medio, pudimos rastrearlo en el flujo de datos usando la codificación Base32. Incluso estaba en la configuración de Google. Cifrado en el dispositivo Activado, lo que garantiza que Google Password Manager solo guarde contraseñas seguras E2E. Esperábamos seguridad idéntica a los secretos TOTP.
La seguridad puede comprender el problema: la semilla secreta omite la línea en texto sin formato durante la sincronización.
(imagen: captura de pantalla/rei)
Cifrado avanzado de extremo a extremo
El cifrado E2E de secretos importantes, como contraseñas y claves de paso, ahora es lo último en tecnología. Esto garantiza que solo el propio usuario, y no el proveedor de servicios, o el pirata informático con ellos, tenga acceso a estos datos esenciales. Después de dudar durante mucho tiempo, Google también se dio cuenta de esto y aseguró las claves de paso con protección E2E. Incluso Google Password Manager ahora puede hacer esto.
La base sincronizada es el secreto utilizado por el autenticador para calcular el código actual para el inicio de sesión seguro de dos factores. Los atacantes pueden usar esto para eludir la autenticación de dos factores y obtener acceso a las cuentas protegidas por ella, siempre que ya tengan la contraseña. Por lo tanto, una copia de seguridad debe protegerse de tal manera que solo los usuarios reales puedan acceder a ella. El cifrado E2E de contraseñas y claves de acceso mencionado anteriormente demuestra que Google puede hacerlo.
Por lo tanto, actualmente no se recomienda sincronizar secretos en Google Authenticator, Resume Musk en Twitter. En el caso actual, Heise Security desaconseja el uso de un autenticador por completo, ya que no puede descartar el drenaje de semillas no deseado, por ejemplo, si accidentalmente activa la sincronización. Otras aplicaciones, como Authy, también ofrecen sincronización y copia de seguridad de los secretos TOTP, pero los protegen con solo una contraseña maestra conocida por el usuario.
Cualquiera que ya haya activado la copia de seguridad debe desactivarla nuevamente y luego restablecer la semilla de dos factores para todas las cuentas administradas con el autenticador. Así es como se puede restaurar la confidencialidad.
Google aún no ha respondido una pregunta sobre si a la empresa le gustaría confirmar y corregir el comportamiento de las copias de seguridad. Mysk ya detectó varias aplicaciones de autenticación maliciosas en Apple Store y Google Play a fines de febrero. En su momento clasificaron el problema como «robo malicioso de datos» o «programación incompetente».
(DMK)
