Google Authenticator 新功能未採端到端加密，安全人員籲先別啟用

你是否啟用 Google Authenticator 新增的雲端同步功能？安全研究人員卻急呼籲先別這麼做。

Google Authenticator 近日升級更新後，可將驗證碼雲端同步到你的 Google 帳號和所有裝置，好處是萬一不慎遺失手機，仍能隨時存取這些驗證碼。不過，Mysk 的安全研究人員發文抨擊新的雲端同步功能並未採用端到端加密（end-to-end encryption，E2EE），呼籲所有用戶先不要啟用雲端同步功能。

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don’t turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

▲ Mysk 的安全研究人員點出 Google Authenticator 雲端同步新功能疑慮。

Mysk 的安全研究人員分析 Google Authenticator 同步時的網路流量，發現並沒有進行端到端加密，這意味著 Google 能夠看到屬於用戶個人的秘密資訊，甚至可能存在伺服器上，同時這款 App 也沒有提供密碼功能加以保護這些秘密資訊，存在使用風險。

每個雙重驗證的 QRcode 包含密鑰，能夠產生一次性驗證碼。如果他人知道密鑰，也能產生相同的一次性驗證碼，雙重驗證就失去了保護作用。萬一發生資料外洩或有人不法取得你的 Google 帳號權限，雙重驗證的密鑰也會洩漏。

此外，雙重驗證的 QRcode 通常包含其他資訊，例如帳號名稱和登入服務名稱（例如 Twitter、亞馬遜等）。Mysk 的安全研究人員認為 Google 藉此知道你使用哪些線上服務，可能以此進行廣告投放。

對此 Google 回應，Google Authenticator 新功能目的不僅保護 Google 用戶，且是兼具實用和方便的功能，E2EE 是一項提供額外保護的強大功能，但是如果用戶忘記或遺失自己的 Google 帳號密碼，他們可能無法恢復資料。強調包括 Google Authenticator 在內的產品，資料傳輸或靜態儲存上有加密。Google 已經計劃為 Google Authenticator 導入 E2EE，但未透露具體時程。

(2/4) We encrypt data in transit, and at rest, across our products, including in Google Authenticator. E2EE is a powerful feature that provides extra protections, but at the cost of enabling users to get locked out of their own data without recovery.

— Christiaan Brand (@christiaanbrand) April 26, 2023