Google выпустил обновление для своего популярного приложения для аутентификации, которое хранит «одноразовый код» в облачном хранилище.

Google заявил, что одноразовые коды будут храниться в учетной записи Google пользователя, утверждая, что пользователи будут «лучше защищены от блокировки» и это повысит «удобство и безопасность».

В сообщении Reddit от 26 апреля на форуме r/Cryptocurrency пользователь Redditor u/pojut написал, что, хотя обновление действительно помогает тем, кто потеряет устройство с приложением для аутентификации, оно также делает их более уязвимыми для хакеров.
Защищая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто может получить доступ к паролю Google пользователя, впоследствии получит полный доступ к приложениям, связанным с аутентификатором.

Пользователь предположил, что потенциальный способ обойти проблему SMS 2FA — использовать старый телефон, который используется исключительно для размещения приложения для аутентификации.

«Я также настоятельно рекомендую, чтобы, если это возможно, у вас было отдельное устройство (возможно, старый телефон или старый планшет), единственная цель которого в жизни — использовать его для выбранного вами приложения для аутентификации. Не оставляйте на нем ничего другого и не используйте его ни для чего другого».

Точно так же разработчики кибербезопасности Mysk обратились в Twitter, чтобы предупредить о дополнительных сложностях, связанных с решением Google на основе облачного хранилища для 2FA.
Google только что обновил свое приложение 2FA Authenticator и добавил столь необходимую функцию: возможность синхронизировать пароли между устройствами.

Краткий итог: Не включайте его.

Новое обновление позволяет пользователям входить в свою учетную запись Google и синхронизировать пароли 2FA на своих устройствах iOS и Android….
— Mysk (@mysk_co) 26 апреля 2023 г.

Это может оказаться серьезной проблемой для пользователей, которые используют Google Authenticator для 2FA для входа в свои учетные записи криптобирж и другие сервисы, связанные с финансами.
Наиболее распространенным взломом 2FA является тип мошенничества с идентификацией, известный как «подмена SIM-карты», при котором мошенники получают контроль над телефонным номером, обманом заставляя поставщика телекоммуникационных услуг привязать номер к своей собственной SIM-карте.

Недавний пример этого можно увидеть в иске, поданном против американской криптовалютной биржи Coinbase, где клиент утверждал, что потерял «90% своих сбережений» после того, как стал жертвой такой атаки.

Примечательно, что сама Coinbase поощряет использование приложений для аутентификации для 2FA, а не SMS, описывая SMS 2FA как «наименее безопасную» форму аутентификации.

Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был взломан. Кроме того, Coinbase поощряет использование приложения Authenticator для 2FA, называя его «безопасным», а SMS — «умеренно безопасным».
— Дэйв Фергюсон

На Reddit пользователи обсуждали судебный процесс и даже предложили запретить SMS 2FA, хотя один пользователь Reddit отметил, что в настоящее время он является единственным вариантом аутентификации, доступным для ряда сервисов, связанных с финтехом и криптовалютой:

«К сожалению, многие сервисы, которыми я пользуюсь, пока не предлагают Authenticator 2FA. Но я определенно думаю, что SMS-подход оказался небезопасным и должен быть запрещен».

Компания CertiK, которая занимается безопасностью блокчейна, предупредила об опасностях использования SMS 2FA, а ее эксперт по безопасности Джесси Леклер сказал, что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время».

Источник: cointelegraph.com