أداة مصادقة Google الجديدة ليست مشفرة من طرف إلى طرف: اختبار
جديد أداة المصادقة الثنائية من Google ليست مشفرة من طرف إلى طرف ، مما قد يعرض المستخدمين لمخاطر أمنية كبيرة ، أ تم العثور على اختبار من قبل باحثي الأمن.
يوفر تطبيق Google Authenticator رموزًا فريدة قد تطلبها عمليات تسجيل الدخول إلى مواقع الويب كطبقة ثانية من الأمان فوق كلمات المرور. أعلنت Google يوم الاثنين عن ميزة طال انتظارها ، والتي تتيح لك مزامنة Authenticator مع حساب Google واستخدامه عبر أجهزة متعددة. هذه أخبار رائعة لأنه في الماضي ، كان من الممكن أن ينتهي بك الأمر إلى إغلاق حسابك إذا فقدت الهاتف مع تثبيت تطبيق المصادقة.
ولكن عندما ألقى مطورو التطبيقات والباحثون الأمنيون في شركة البرمجيات Mysk نظرة تحت الغطاء ، وجدوا أن البيانات الأساسية ليست مشفرة من طرف إلى طرف.
لقد اختبرنا الميزة بمجرد إصدارها من Google. لقد أدركنا أن التطبيق لم يطالب أو يقدم خيارًا لاستخدام عبارة مرور لحماية الأسرار “. كتبت الشركة على تويتر.
للبيع الآن
اثنان من شبكات VPN المفضلة لدينا
حماية بياناتك الخاصة
نحن نشارك ونصل إلى الكثير من البيانات الخاصة كل يوم والتي يمكن أن تسبب بعض المشاكل الكبيرة إذا وقعت هذه المعلومات في الأيدي الخطأ.
وأضافت الشركة: “نقوم بتحليل حركة مرور الشبكة عندما يقوم التطبيق بمزامنة الأسرار ، ويتضح أن حركة المرور ليست مشفرة من طرف إلى طرف”. مضاف. “كما هو موضح في لقطات الشاشة ، هذا يعني أنه يمكن لـ Google رؤية الأسرار ، على الأرجح حتى أثناء تخزينها على خوادمهم. في مجتمع الأمان ، “الأسرار” هي مصطلح يطلق على بيانات الاعتماد التي تعمل كمفتاح لفتح حساب أو أداة.
يمكنك استخدام Google Authenticator دون ربطه بحسابك في Google أو مزامنته عبر الأجهزة ، مما يتجنب هذه المشكلة. لسوء الحظ ، هذا يعني أنه قد يكون من الأفضل تجنب الميزة المفيدة التي قضى المستخدمون سنوات في المطالبة بها. قالت الشركة: “المحصلة النهائية: على الرغم من أن مزامنة أسرار المصادقة الثنائية عبر الأجهزة أمر مريح ، إلا أنها تأتي على حساب خصوصيتك”. نوصي باستخدام التطبيق بدون ميزة المزامنة الجديدة في الوقت الحالي.
لم ترد Google على الفور على طلب للتعليق.
تيوجد الاختبارات أن حركة المرور غير المشفرة تحتوي على “بذرة” تُستخدم لإنشاء رموز المصادقة ذات العاملين. وفقًا لـ Tommy Mysk ، أحد الباحثين الذين اكتشفوا المشكلة ، يمكن لأي شخص لديه إمكانية الوصول إلى هذه البذرة إنشاء رموز خاصة به لحساباتك والاقتحام.
قال ميسك لجيمودو: “إذا تم اختراق خوادم Google ، فسوف تتسرب الأسرار”. ومما يزيد الطين بلة ، أن رموز QR المتضمنة في إعداد اثنينتحتوي مصادقة العامل أيضًا على اسم الحساب أو الخدمة (Amazon أو Twitter ، على سبيل المثال). يمكن للمهاجم أيضًا معرفة الحسابات التي لديك. هذا محفوف بالمخاطر بشكل خاص إذا كنت ناشطًا وتدير حسابات أخرى على Twitter بدون الكشف عن هويتك “.
لكن لا داعي للقلق بشأن مجرمي الإنترنت فحسب. قال ميسك: “يمكن لموظفي Google أو Google الوصول إلى هذه البيانات”.
تييعني الافتقار إلى التشفير أن Google يمكنها من الناحية النظرية انظر إلى البيانات وتعرف على التطبيقات والخدمات التي تستخدمها ، والتي يمكن أن تكون ذات قيمة لعدد من الأغراض ، بما في ذلك الإعلانات المستهدفة. قال ميسك: “إن السماح لعملاق التكنولوجيا المتعطش لبيانات مثل Google بإنشاء رسم بياني لجميع الحسابات والخدمات التي يمتلكها كل مستخدم ليس بالأمر الجيد”.
تأتي المشكلة كمفاجأة ، بالنظر إلى تاريخ Google باستخدام أدوات مماثلة. لدى Google ميزة مشابهة بشكل غامض تتيح لك مزامنة البيانات من Google Chrome عبر الأجهزة. هناك ، تقدم الشركة للمستخدمين خيار إعداد كلمة المرور لحماية تلك البيانات وإبعادها عن أعين المتطفلين في Google وحمايتها من أي شخص آخر قد يعترضها.
تعتبر أسرار المصادقة الثنائية بيانات حساسة ، تمامًا مثل كلمات المرور. تدعم Google بالفعل عبارات المرور لمزامنة بيانات Chrome. لذلك توقعنا أن يتم التعامل مع أسرار المصادقة الثنائية بنفس الطريقة.
حتى الآن ، لم تعلن Google عن أي خطط لإضافة حماية بكلمة مرور إلى ميزة مزامنة المصادقة.