Google promete corrigir uma omissão flagrante no backup em nuvem do Authenticator

O Google adicionou recentemente um recurso há muito solicitado ao seu aplicativo Authenticator: a capacidade de fazer backup de códigos 2FA na nuvem. O novo recurso sincroniza tokens 2FA em seus dispositivos por meio de sua conta do Google, abordando um grande inconveniente na implementação anterior da autenticação de dois fatores do aplicativo. No entanto, logo após o lançamento, uma equipe de pesquisadores de segurança alertou contra a ativação do backup em nuvem no aplicativo, dizendo que não é criptografado de ponta a ponta. De acordo com um gerente de produto do Google, isso será corrigido no futuro.

Pesquisadores de segurança da empresa de software Mysk descobriram a falta de suporte E2EE no backup em nuvem do Authenticator depois de examinar o tráfego de rede enquanto o aplicativo estava sincronizando os códigos 2FA. Isso significa que os dados armazenados no aplicativo, como seus códigos 2FA, podem ser acessados ​​por pessoas mal-intencionadas ou pelo próprio Google. Mysk acrescentou que não há opção para proteger os segredos – jargão da indústria para credenciais – com uma senha para limitar o acesso apenas ao usuário.

Não é segredo que qualquer sistema que armazene dados confidenciais na nuvem apresenta alguns riscos de segurança. Um invasor que obtém acesso à conta do Google de um usuário pode acessar suas credenciais 2FA e usá-las para sequestrar outras contas pertencentes ao usuário.

Por enquanto, os pesquisadores de segurança aconselham os usuários a não ativar a capacidade de sincronizar códigos 2FA entre dispositivos e na nuvem. Afinal, o aplicativo continuará funcionando mesmo que seus tokens 2FA não estejam sincronizados.

Enquanto isso, Christiaan Brand, gerente de produto do Google, reconheceu em um tweet a falta de E2EE do aplicativo. Ele observou que “o E2EE é um recurso poderoso que oferece proteção extra, mas ao custo de permitir que os usuários fiquem sem acesso aos seus próprios dados sem recuperação”.

O 2FA baseado em nuvem resolve um aborrecimento de longa data para os usuários do Authenticator, permitindo que seus códigos sejam armazenados na nuvem usando sua conta do Google. Isso significa que, mesmo que percam o dispositivo ou atualizem para um novo telefone, ainda poderão acessar seus tokens 2FA usando um dispositivo de backup.

Eventualmente, Brand garantiu ao público que o E2EE seria adicionado ao Authenticator no futuro (via Mishaal Rahman). No momento, o Google está lançando a criptografia E2E opcional para alguns de seus serviços.

Enquanto isso, se você estiver preocupado com a segurança de seus códigos 2FA, poderá usar qualquer um dos principais aplicativos 2FA que oferecem criptografia de ponta a ponta, incluindo Authy e Bitwarden.