Category: La nube
Posted by

Actualización 2FA de Google Authenticator acusada de hacer que el servicio sea menos seguro

Una nueva actualización para la aplicación Google Authenticator ha generado críticas de los desarrolladores por supuestamente exponer a los usuarios a violaciones de privacidad y seguridad.

A principios de esta semana, Google lanzó una actualización para Android e iOS que permite a los usuarios hacer una copia de seguridad de sus códigos de autenticación únicos en la nube, pero los investigadores han notado que el tráfico de red para este proceso no está encriptado de extremo a extremo.

El dúo de investigadores de seguridad y programadores, hablando desde el único identificador en línea de Mysk, alegó que sin el cifrado adecuado, los secretos de autenticación de dos factores (2FA) de los usuarios podrían ser vistos por Google o potencialmente accedidos por actores de amenazas.

«Cada código QR 2FA contiene un secreto, o una semilla, que se usa para generar los códigos de un solo uso».

“Si alguien más conoce el secreto, puede generar los mismos códigos de un solo uso y anular las protecciones 2FA. Entonces, si alguna vez hay una violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA se verán comprometidos”.

Mysk también declaró que, dado que los códigos QR 2FA contienen datos relacionados con el nombre del servicio al que se relacionan, Google podría acceder a estos datos para mostrar anuncios personalizados a los usuarios.

El analista de seguridad Graham Cluely se hizo eco de los hallazgos de Mysk y dijo (se abre en una pestaña nueva) «no debe habilitar la función ya que Google no la ha implementado de una manera que defienda adecuadamente su seguridad».

La función ha sido solicitada durante mucho tiempo, y Google dijo que la agregó en reconocimiento de la frustración que sentían algunos usuarios con un dispositivo vinculado a cuentas cruciales.

«Un comentario importante que hemos escuchado de los usuarios a lo largo de los años fue la complejidad de lidiar con dispositivos perdidos o robados que tenían instalado Google Authenticator», escribió Christiaan Brand, gerente de productos grupales de Google en una publicación de blog (se abre en una pestaña nueva ).

«Dado que los códigos de un solo uso en Authenticator solo se almacenaban en un solo dispositivo, la pérdida de ese dispositivo significaba que los usuarios perdían la capacidad de iniciar sesión en cualquier servicio en el que habían configurado 2FA usando Authenticator».

Con la nueva actualización, los usuarios podrán volver a acceder a los códigos de un solo uso en un teléfono nuevo una vez que hayan iniciado sesión en la aplicación Authenticator con su cuenta de Google.

Google Authenticator respaldará automáticamente los códigos en la nube, aunque los usuarios pueden usar la aplicación sin una cuenta de Google.

Microsoft ya había permitido copias de seguridad en la nube en Microsoft Authenticator, y su página de documentación (se abre en una pestaña nueva) ha descrito hasta qué punto las claves enviadas a la nube se cifran con AES-256.