Google Authenticator uygulaması için yapılan yeni bir güncelleme, kullanıcıları gizlilik ve güvenlik ihlallerine açık hale getirdiği iddiasıyla geliştiricilerin eleştirilerine neden oldu.
Kimlik doğrulama kodlarınız tehlikede olabilir.
Bu haftanın başlarında Google, Android ve iOS için kullanıcıların tek seferlik kimlik doğrulama kodlarını buluta yedeklemelerine olanak tanıyan bir güncelleme yayınladı. Ancak araştırmacılar bu işlem için kullanılan ağ trafiğinin uçtan uca şifrelenmediğini belirtti. Güvenlik araştırmacısı ve programcı ikilisi, Mysk adlı tek bir çevrimiçi tanıtıcıdan konuşarak, uygun şifreleme olmadan, kullanıcıların iki faktörlü kimlik doğrulama (2FA) sırlarının Google tarafından görüntülenebileceğini veya tehdit aktörleri tarafından potansiyel olarak erişilebileceğini iddia etti.
Araştırmacılar tweet’lerinde “Her 2FA QR kodu, tek seferlik kodları oluşturmak için kullanılan bir sır ya da bir tohum içerir” dedi.
“Başka biri bu sırrı biliyorsa, aynı tek seferlik kodları üretebilir ve 2FA korumalarını yenebilir. Dolayısıyla, eğer bir veri ihlali olursa ya da birisi Google Hesabınıza erişim sağlarsa, tüm 2FA sırlarınız tehlikeye girecektir.” Mysk ayrıca 2FA QR kodlarının ilgili oldukları hizmetin adıyla ilgili veriler içerdiğinden, Google’ın kullanıcılara kişiselleştirilmiş reklamlar sunmak için bu verilere erişebileceğini belirtti. Güvenlik analisti Graham Cluely de Mysk’in bulgularını yineleyerek “Google bu özelliği güvenliğinizi düzgün bir şekilde koruyacak şekilde uygulamadığı için bu özelliği etkinleştirmemelisiniz” dedi. Bu özellik uzun zamandır talep ediliyordu ve Google, bazı kullanıcıların bir cihazın çok önemli hesaplara bağlı olmasından duyduğu hayal kırıklığını kabul ederek bu özelliği eklediğini söyledi.
Google’da grup ürün müdürü olan Christiaan Brand bir blog yazısında “Yıllar boyunca kullanıcılardan duyduğumuz en önemli geri bildirimlerden biri, Google Authenticator ‘ın yüklü olduğu kayıp veya çalıntı cihazlarla başa çıkmanın karmaşıklığıydı” diye yazdı. “Authenticator’daki tek seferlik kodlar yalnızca tek bir cihazda saklandığından, bu cihazın kaybedilmesi, kullanıcıların Authenticator kullanarak 2FA ayarladıkları herhangi bir hizmette oturum açma yeteneklerini kaybetmeleri anlamına geliyordu.”
Yeni güncelleme ile kullanıcılar, Google hesaplarını kullanarak Authenticator uygulamasında oturum açtıktan sonra yeni bir telefonda tek seferlik kodlara tekrar erişebilecekler. Google Authenticator kodları otomatik olarak buluta yedekleyecek, ancak kullanıcılar uygulamayı bir Google hesabı olmadan da kullanabilecekler. Microsoft, Microsoft Authenticator’da bulut yedeklemelerine zaten izin vermişti ve dokümantasyon sayfası buluta gönderilen anahtarların AES-256 ile ne ölçüde şifrelendiğini özetledi.
