Google Authenticator obtendrá el cifrado completo
Google confirmó que la aplicación Google Authenticator recientemente actualizada obtendrá capacidades de cifrado integrales para la función de sincronización de cuentas.
“Siempre nos enfocamos en la seguridad de los usuarios de Google, y las últimas actualizaciones de Google Authenticator no son una excepción”. tuiteó la marca cristiana de Google. Nuestro objetivo es proporcionar funciones que protejan a los usuarios, pero Útil y conveniente. Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluido Google Authenticator. E2EE es una característica poderosa que brinda protección adicional, pero a costa de permitir a los usuarios borrar sus datos sin restaurar… [But] Tenemos planes para ofrecer E2EE para Google Authenticator de forma continua. Por ahora, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y brinda beneficios significativos sobre el uso fuera de línea. Sin embargo, la opción de utilizar la aplicación sin conexión seguirá siendo una alternativa para quienes prefieran gestionar su propia estrategia de copia de seguridad».
Google anunció una rara actualización importante de su aplicación Authenticator hace solo unos días, agregando capacidades de sincronización de código de una sola vez para una cuenta de Google y un nuevo código. Pero los investigadores de seguridad en atrapó Dijo que esta sincronización no está encriptada de extremo a extremo (E2EE), lo que significa que, en teoría, Google puede acceder a los tokens de los clientes.
«Google acaba de actualizar su aplicación 2FA Authenticator y agregó una característica muy necesaria: la capacidad de sincronizar secretos entre dispositivos», tuiteó la compañía. No lo enciendas. Analizamos el tráfico de la red cuando la aplicación sincronizó los secretos. [the seeds used to generate the one-time codes], y resulta que el tráfico no está cifrado de extremo a extremo. Esto significa que Google puede ver secretos, muy probablemente incluso mientras están almacenados en sus servidores. No hay opción para agregar una frase de contraseña para proteger los secretos, para que solo el usuario pueda acceder a ellos.
Aquellos preocupados por esto pueden continuar usando Google Authenticator como antes, sin iniciar sesión ni sincronizar.
«Creador. Aficionado al café. Amante de Internet. Organizador. Friki de la cultura pop. Aficionado a la televisión. Orgulloso adicto a la comida».