Sync von 2FA-Codes
Authenticator-App: Google will nach Fingerklopfer nachbessern
Schräge Nummer: Ausgerechnet der für seine hervorragenden Cybersecurity-Kompetenzen bekannte Suchmaschinen-Riese Google, hat beim letzten Update seiner offiziellen Google Authenticator-App einen Patzer hingelegt, der die Community der IT-Sicherheitsspezialisten mit dem Kopf schütteln lies.
Geheimschlüssel ließen sich auslesen
Google erweiterte die 2-Faktor-Appliaktion um die Möglichkeit, die in der Anwendung gesicherten Geheimschlüssel, über den persönlichen Google-Account mit anderen iOS- und Android-Geräten zu synchronisieren.
Eigentlich eine begrüßenswerte Neuerung, die dafür Sorge trägt, dass die wichtigen Zugangssicherungen für die diversen Logins und Online-Konten, die man heutzutage so braucht, nicht nur auf einem Gerät gesichert sind. Zudem ist der Abgleich natürlich auch super-bequem.
Unverschlüsselte Übertragung
Allerdings hat Google nicht dafür Sorge getragen, dass die Geheimschlüssel selbst während der Synchronisation auch verschlüsselt übertragen wurden. Dies haben die schon durch andere Aktionen in Erscheinung getretenen Sicherheitsspezialisten von Mysk festgestellt und (zurecht) auf der Kurznachrichten-Plattform Twitter breitgetreten.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Wer in der Lage ist den Netzwerkverkehr mitzulesen, der könnte die 2-Faktor-Codes einfach abgreifen. Entsprechend empfahl man bei Mysk einen Bogen um den 2-Faktor-Sync zu machen.
Eine Empfehlung, auf die Googles Christiaan Brand nun mit einer Stellungnahme reagiert hat, in der Besserung gelobt wird. Man habe bislang auf eine Ende-zu-Ende-Verschlüsselung verzichtet, da Anwender die ihre Zugangsdaten vergessen würden, keine Möglichkeit mehr hätten, diese zu reaktivieren.
(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023
Man sei jedoch bereits mit der Bereitstellung einer umfangreichen Ende-zu-Ende-Verschlüsselung in mehrere der hauseigenen Angebote beschäftigt und plane perspektivisch auch diese bei der Google Authenticator-App einzusetzen.
Interessantes Zitat:
„…Ausgerechnet der für seine hervorragenden Cybersecurity-Kompetenzen bekannte Suchmaschinen-Riese Google…“
Mich würde mal ein wirklich unabhängiger Vergleich von Google, Apple und Microsoft zu diesem Thema interessieren.
Zumal Chrome eindeutig der Browser mit den meisten Sicherheitslücken überhaupt ist. Daten war der IE ja noch vorbildlich.
Quelle?
Google Project Zero
Sind die „Schlüssel“ in meinem Lokalen Backup vorhaben?
Nein.
‚Wer in der Lage ist den Netzwerkverkehr mitzulesen, der könnte die 2-Faktor-Codes einfach abgreifen.‘
Stimmt so nicht. Der Verkehr ist immer noch verschlüsselt, der Payload jedoch nicht noch mal extra E2E verschlüsselt.
Wenn man heise.de glaubt stimmt das schon, dass man nur den Netzwerkverkehr abgreifen muss um an das Geheimnis zu kommen.
Jedoch egal wie, sollte man die Funktion meiden oder sogar ganz auf den Authenticator verzichten.
Lol auf 2FA verzichten für Sicherheit, what, lol
Einfach 2FA i. Keepass file speichern und in webDAV fähige cloud laden
Mit Keepassium oder srongbox syncen und in die Automatische PW ausfüll option von iOS integrieren