Araştırmacılar, kullanıcıları 2FA kodlarını Google hesaplarıyla senkronize etmemeleri konusunda uyardıktan sonra Google, Google Authenticator bulut yedeklemelerine uçtan uca şifreleme getiriyor.
Bu hafta, Google Authenticator nihayet uzun zamandır beklenen 2FA belirteçlerini buluta yedekleyebilme özelliğine kavuştu.
Bu yeni özellik, kullanıcıların Google Authenticator 2FA belirteçlerini Google hesaplarıyla senkronize etmelerine olanak tanıyarak, mobil cihazlarının kaybolması veya hasar görmesi durumunda bir yedekleme sağlar.
Aynı Google hesabına giriş yaptıkları sürece, kullanıcıların 2FA belirteçlerine birden çok cihazda erişmelerine olanak tanır.
Uçtan uca şifreleme yok
Ancak, Google Authenticator bulut senkronizasyonu duyurulduktan kısa bir süre sonra, Mysk’teki güvenlik araştırmacıları, verilerin Google sunucularına yüklenirken uçtan uca şifrelenmediğini keşfetti.
“Uygulama sırları senkronize ettiğinde ağ trafiğini analiz ettik ve trafiğin uçtan uca şifreli olmadığı ortaya çıktı.” Musk’tan tweet.
“Ekran görüntülerinde gösterildiği gibi, bu, Google’ın sırları muhtemelen sunucularında depolanırken bile görebileceği anlamına geliyor. Sırları korumak, yalnızca kullanıcı tarafından erişilebilir kılmak için bir parola ekleme seçeneği yok.”
Uçtan Uca şifreleme, verilerin başka bir cihazda iletilmeden ve saklanmadan önce yalnızca sahibi tarafından bilinen bir parola kullanılarak bir cihazda şifrelenmesidir. Bu veriler şifreli olduğu için, verilerin depolandığı sunucuya erişimi olanlar da dahil olmak üzere başka hiç kimse tarafından erişilemez.
Google Authenticator uçtan uca şifreleme sunmadığından, veriler Google’ın sunucusunda, yetkisiz kullanıcıların, bir Google ihlali veya vicdansız bir çalışan aracılığıyla potansiyel olarak erişebileceği bir biçimde depolanır.
Mysk, “Her 2FA QR kodu, tek seferlik kodları oluşturmak için kullanılan bir sır veya bir tohum içerir. Sırrı başka biri bilirse, aynı tek seferlik kodları oluşturabilir ve 2FA korumalarını yenebilir,” diye devam etti Mysk.
“Yani, herhangi bir veri ihlali olursa veya birisi Google Hesabınıza erişim elde ederse, tüm 2FA sırlarınız tehlikeye girer.”
Bir başka popüler kimlik doğrulayıcı uygulaması olan Authy, uçtan uca şifrelenmiş 2FA belirteçlerinin bulut yedeklemelerini sunduğu için yıllar içinde popülaritesini artırdı.
Authy’de bu özelliği kullanırken, kullanıcıların yalnızca kendilerinin bildiği bir şifre girmesi gerekir; bu, yüklenen tüm verilerin mobil cihazlarından ayrılmadan önce şifrelenmesine neden olur.
Ayrıca Authy, uçtan uca şifreleme parolası belirlenmedikçe verilerin yedeklenmesine izin vermeyerek daha iyi güvenlik sağlar.
Ancak, bu özellik bir risk teşkil eder, çünkü kullanıcılar parolalarını kaybederlerse verilerine erişemezler ve verileri başka bir cihaza geri yükleyemezler.
E2EE, Google Authenticator’a geliyor
Google, kullanıcıların uçtan uca şifreleme eksikliğiyle ilgili endişelerini duydu ve bunu Google Authenticator’ın gelecekteki bir sürümüne ekleyeceklerini söyledi.
Google Grubu Ürün Müdürü Christiaan Brand, BleepingComputer’a uçtan uca şifreleme olasılığı nedeniyle kullanıcıların kendi verilerine erişememelerine neden olduğundan, bu özelliği ürünlerinde dikkatli bir şekilde kullanıma sunduklarını söyledi.
“Kullanıcılarımızın güvenliği ve emniyeti, Google’da yaptığımız her şey için çok önemlidir ve bu, ciddiye aldığımız bir sorumluluktur. Google Authenticator uygulamasına yapılan son güncelleme, bu misyon göz önünde bulundurularak yapıldı ve bunu kullanıcılara güvenlik ve gizliliklerini koruyan, ancak aynı zamanda yararlı ve kullanışlı bir şekilde sunabilmek için dikkatli adımlar attık” dedi Brand. BleepingComputer.
“Google Authenticator da dahil olmak üzere ürünlerimiz genelinde aktarılan ve kullanılmayan verileri şifreliyoruz. Uçtan Uca Şifreleme (E2EE), ekstra koruma sağlayan güçlü bir özelliktir, ancak bunun maliyeti kullanıcıların erişimini kaybetmesine olanak tanımaktır. Kullanıcılara eksiksiz seçenekler sunduğumuzdan emin olmak için bazı ürünlerimizde isteğe bağlı E2EE’yi kullanıma sunmaya başladık ve gelecekte Google Authenticator için E2EE’yi sunmayı planlıyoruz.”
Google, Google hesaplarıyla senkronize edilen verileri şifrelemek için bir parola belirlemenize izin veren Google Chrome gibi bazı hizmetlerinde zaten E2E şifrelemesi sağlıyor.