谷歌身份验证器的新同步功能引发安全担忧

谷歌身份验证器的新云同步功能引发隐私担忧

谷歌最近为其双重身份验证应用推出了一个云同步功能，旨在帮助用户将双因素身份验证的代码序列备份到云端。这使得用户能够节省时间，并通过在多个设备上添加同一谷歌账户中的新实例来迅速恢复身份验证。然而，此举引来了隐私倡导者的批评，他们声称终端与云之间的通信未加密，因此可能会受到对手的监控。

Mysk研究团队分析了更新后的谷歌身份验证器应用的网络流量，并表示“流量并没有实现端到端加密。”

“谷歌刚刚更新了其2FA身份验证器应用，并增加了一项急需的功能：跨设备同步密钥的能力。简而言之：不要开启它，”Mysk在本周早些时候的中解释道。“虽然在多个设备间同步2FA密钥很方便，但这是以牺牲隐私为代价的。”

研究人员指出，缺乏加密会使用户面临数据泄露和潜在的谷歌账户被接管的风险。若攻击成功，恶意行为者将能够访问用于生成一次性代码的双重验证二维码，从而生成相同的一次性代码。

“每个2FA二维码都包含一个秘密或种子，用于生成一次性代码。如果其他人知道这个秘密，他们就可以生成相同的一次性代码，从而绕过2FA保护。因此，如果发生数据泄露，或有人获得你谷歌账户的访问权限，你所有的2FA秘密都将被泄露，”Mysk写道。

Paul Ducklin在中指出，任何持有你谷歌数据搜索令状的人都可以访问敏感的身份验证数据。

Mysk研究人员建议关注隐私的用户关闭谷歌身份验证器中的新同步功能。

谷歌的产品经理ChristiaanBrand在上承认了隐私问题，并表示谷歌计划在未来为身份验证器推出端到端加密。

“谷歌认为当前产品对大多数用户而言达到了适当的平衡，并在离线使用上提供了显著的好处，”他写道。