Google 日前推出 Google Authenticator 更新,加入雲端同步功能方便用戶跨裝置使用,不過有網絡安全專家就指這功能存在多個問題,呼籲用戶不要開啟以免洩露私隱,而 Google 方面就隨即作出回應,表示將會加入 E2EE 端對端加密功能以提升保護。
網絡保安專家小組 Mysk 表示,經他們測試,發現 Google Authenticator 新增的跨裝置同步功能雖然在傳輸時有加密,但並非 E2EE 端對端加密,又沒有向用戶提供以密碼保護同步密鑰內容的選項,令 Google 有機會讀取同步到雲端的 2FA 雙因素認證密鑰。他們甚至擔心 2FA 密鑰在 Google 數據庫時並沒有加密儲存,一旦出現資料洩露或 Google 帳戶被騎劫,被偷去的 2FA 密碼就可以用來產生一次性密碼。
Mysk 又擔心由於 2FA 密鑰會連同使用該密鑰的平台名稱一同傳送,Google Authenticator 程式本身又會連結很多個人資料,令到 Google 可以了解用戶使用哪些社交或應用平台,有機會收集這些個人資料來推播個人化廣告。
另一方面,Mysk 又發現索取 Google 導出的個人資料中,竟然沒有包含儲存在 Google 帳戶內的 2FA 密鑰,令用戶不知道 Google 儲存了多少 2FA 密鑰。
Google:想自己管理備份可以選擇離線
對於 Mysk 的指控,Google 身份與安全產品經理 Christiaan Brand 今日凌晨就在 Twitter 發推文,表示已計劃在 Google Authenticator 加入端對端加密功能。端對端加密由於只有裝置之間才知道解密密碼,Google 便無法查看到傳送的內容。
不過 Brand 亦提到雖然 E2EE 端對端加密可以提供額外安全保障,不過就可能會因為無法取回 Google 不知道的加密密碼,而有機會永久無法取回帳戶和資料。
Brand 表示他們相信現時的 Google Authenticator 對大部分用戶來說已經取得適當平衡,並提供比離線使用有更顯著的好處。不過對於喜歡自己管理備份策略的用戶來說,離線使用 Google Authenticator 仍然是另一種選擇。