O Google Authenticator está obtendo criptografia de ponta a ponta – eventualmente. Depois que pesquisadores de segurança criticaram a empresa por não incluí-la na atualização de sincronização de conta do Authenticator, o gerente de produto do Google, Christiaan Brand respondeu no Twitter ao dizer que a empresa tem “planos de oferecer E2EE” no futuro.
“No momento, acreditamos que nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos em relação ao uso offline”, escreve Brand. “No entanto, a opção de usar o aplicativo offline continuará sendo uma alternativa para quem prefere gerenciar sua própria estratégia de backup.”
No início desta semana, o Google Authenticator finalmente começou a oferecer aos usuários a opção de sincronizar códigos de autenticação de dois fatores com suas contas do Google, tornando muito mais fácil fazer login em contas em novos dispositivos.
Embora essa seja uma mudança bem-vinda, ela também apresenta algumas preocupações de segurança, pois os hackers que invadem a conta do Google de alguém podem obter acesso a várias outras contas como resultado. Se o recurso suportasse E2EE, hackers e outros terceiros, incluindo o Google, não conseguiriam ver essas informações.
Os pesquisadores de segurança Mysk destacaram alguns desses riscos em uma postagem no Twitter, observando que “se houver uma violação de dados ou se alguém obtiver acesso à sua Conta do Google, todos os seus segredos 2FA serão comprometidos”. Eles acrescentaram que o Google poderia usar as informações vinculadas às suas contas para veicular anúncios personalizados e também aconselharam os usuários a não usar o recurso de sincronização até que ele ofereça suporte ao E2EE.
Brand rejeitou as críticas, afirmando que, embora o Google criptografe “dados em trânsito e em repouso em nossos produtos, inclusive no Google Authenticator”, a aplicação do E2EE tem o “custo de permitir que os usuários fiquem bloqueados de seus próprios dados sem recuperação.” Ainda não há cronograma para quando o Google realmente trará o E2EE para o novo recurso de sincronização de contas do Authenticator, deixando os usuários com a opção de usar o recurso sem o E2EE ou apenas continuar usando o Google Authenticator offline.
0 comentários:
Postar um comentário