Google vazando segredos 2FA: pesquisadores desaconselham novo recurso de ‘sincronização de conta’ por enquanto – Naked Security

Ele Google autenticador O aplicativo 2FA tem sido destaque nas notícias de segurança cibernética recentemente, com o Google adicionando um recurso que permite fazer backup de seus dados 2FA na nuvem e restaurá-los em outros dispositivos.

Para explicar, um 2FA (Autenticação de dois fatores) é um daqueles programas que você executa em seu celular ou tablet para gerar códigos de login exclusivos que ajudam a proteger suas contas online com mais do que apenas uma senha.

O problema com as senhas convencionais é que existem muitas maneiras pelas quais os criminosos podem mendigá-las, roubá-las ou pegá-las emprestadas.

surf de ombro, onde um malandro em seu meio espia por cima do seu ombro enquanto você o digita; há palpites inspirados, onde você usou uma frase que um ladrão pode prever com base em seus interesses pessoais; há roubo de identidade, onde você é induzido a fornecer sua senha a um impostor; e aí está keyloggeronde o malware já implantado em seu computador rastreia o que você digita e secretamente começa a gravar toda vez que você visita um site que parece interessante.

E como as senhas convencionais costumam ser as mesmas de um login para o outro, os criminosos que descobrem uma senha hoje podem simplesmente usá-la repetidamente em seu lazer, muitas vezes por semanas, talvez por semanas, meses e às vezes até anos.

Portanto, os aplicativos 2FA, com seus códigos de login exclusivos, aumentam sua senha regular com um segredo adicional, geralmente um número de seis dígitos, que muda a cada vez.

Seu telefone como segundo fator

Os códigos de seis dígitos comumente gerados por aplicativos 2FA são calculados diretamente no seu telefone, não no seu laptop; eles são baseados em uma “semente” ou “tecla de inicialização” armazenada em seu telefone; E eles são protegidos pelo código de bloqueio do seu telefone, não por qualquer senha que você digita rotineiramente em seu laptop.

Dessa forma, os criminosos que imploram, pedem emprestado ou roubam sua senha normal não podem acessar sua conta diretamente.

Esses invasores também precisam acessar seu telefone e devem ser capazes de desbloqueá-lo para executar o aplicativo e obter o código exclusivo. (Os códigos geralmente são baseados na data e hora até o meio minuto mais próximo, então eles mudam a cada 30 segundos.)

Melhor ainda, os telefones modernos incluem chips de armazenamento seguro invioláveis ​​(a Apple chama o deles de enclave seguro; O Google é conhecido como Titã) que guardam seus segredos mesmo se você conseguir desconectar o chip e tentar extrair dados offline por meio de sondas elétricas em miniatura ou por ataque químico combinado com microscopia eletrônica.

Obviamente, essa “solução” traz consigo um problema próprio, a saber: como você faz backup dessas importantes sementes 2FA caso perca seu telefone ou compre um novo e queira trocá-lo?

A maneira perigosa de fazer backup de sementes

A maioria dos serviços online exige que você configure uma sequência de código 2FA para uma nova conta inserindo uma sequência de 20 bytes de dados aleatórios, o que significa digitar laboriosamente 40 caracteres hexadecimais (base 16), um para cada meio byte, ou inserir cuidadosamente 32 caracteres na codificação de base 32, que usa os caracteres A para Z e os seis dígitos 234567 (O zero e um não são usados ​​porque se assemelham a O de Oscar e I de India.)

Exceto que você geralmente tem a chance de evitar o incômodo de tocar manualmente em seu segredo inicial, digitalizando um tipo especial de URL por meio do código QR.

Essas URLs 2FA especiais têm o nome da conta e a semente inicial codificadas nelas, assim (limitamos a semente aqui a 10 bytes ou 16 caracteres de base 32, para manter a URL curta):

Você provavelmente pode adivinhar onde isso está indo.

Quando você liga a câmera do seu celular para escanear códigos 2FA como este, é tentador tirar uma foto dos códigos primeiro, para usar como backup…

…mas pedimos que não o faça, porque qualquer pessoa que obtenha essas imagens posteriormente (por exemplo, de sua conta na nuvem ou porque você as encaminhou por engano) saberá sua semente secreta e trivialmente poderá gerar as informações corretas. seqüência de código de seis dígitos.

Como, portanto, fazer backup de seus dados 2FA de forma confiável sem salvar cópias de texto simples aqueles segredos irritantes de vários bytes?

Autenticador do Google no caso

Bem, o Google Authenticator recentemente, embora tardiamente, decidiu começar a oferecer um serviço de “sincronização de conta” 2FA para que você possa fazer backup de suas sequências de código 2FA na nuvem e depois restaurá-las em um novo dispositivo, por exemplo. , se você perder ou substituir seu telefone.

como meio de comunicação descrito ele, “O Google Authenticator adiciona um recurso crítico há muito esperado após 13 anos.”

Mas com que segurança essa transferência de dados de sincronização de conta ocorre?

Seus dados de semente secretos são criptografados em trânsito para a nuvem do Google?

Como você pode imaginar, a parte do upload na nuvem da transferência de seus segredos 2FA é criptografada, porque o Google, como todas as empresas preocupadas com a segurança, usa HTTPS e apenas HTTPS para todo o tráfego baseado na web há vários anos. . .

Mas suas contas 2FA podem ser criptografadas com uma senha que é exclusivamente sua? mesmo antes de saírem do seu dispositivo?

Dessa forma, eles não podem ser interceptados (legalmente ou não), intimados, vazados ou roubados enquanto estiverem armazenados na nuvem.

Afinal, outra maneira de dizer “na nuvem” é simplesmente “salvo no computador de outra pessoa”.

Adivinha que?

Nossos amigos programadores independentes e especialistas em cibersegurança da @mysk_cosobre quem já escrevemos várias vezes no Naked Security, decidiu descobrir.

Que relatado não soa muito encorajador.

Como você pode ver acima, @mysk_co afirmou o seguinte:

  • Os detalhes da sua conta 2FA, incluindo sementes, não foram criptografados em seus pacotes de rede HTTPS. Em outras palavras, uma vez que a criptografia de nível de transporte é removida após a chegada da carga útil, suas sementes estão disponíveis para o Google e, portanto, por implicação, qualquer pessoa com um mandado de busca para seus dados.
  • Não há opção de frase secreta para criptografar sua carga útil antes que ela saia do dispositivo. Como aponta a equipe da @mysc_co, esse recurso está disponível ao sincronizar informações do Google Chrome, então parece estranho que o processo de sincronização 2FA não ofereça uma experiência de usuário semelhante.

Aqui está o URL inventado que eles geraram para configurar uma nova conta 2FA no aplicativo Google Authenticator:


  otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon

E aqui está uma captura de pacote do tráfego de rede que o Google Authenticator sincronizou com a nuvem, sem criptografia Transport Layer Security (TLS):

Observe que os caracteres hexadecimais destacados correspondem aos 10 bytes de dados brutos que correspondem ao “segredo” de base 32 no URL acima:


  $ luax
  Lua 5.4.5  Copyright (C) 1994-2023 Lua.org, PUC-Rio
                            __
                        ___( o)>
                        \ <_. )
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  Added Duck's favourite modules in package.preload{}
  
  > b32seed = '6QYW4P6KWAFGCUWM'
  > rawseed = base.unb32(b32seed)
  > rawseed:len()
  10
  > base.b16(rawseed)
  F4316E3FCAB00A6152CC

O que fazer?

Concordamos com a sugestão de @mysk_co, que é, “Recomendamos usar o aplicativo sem o novo recurso de sincronização por enquanto.”

Temos certeza de que o Google adicionará um recurso de senha ao recurso de sincronização 2FA em breve, já que esse recurso já existe no navegador Chrome, conforme explicado nas próprias páginas de ajuda do Chrome:

Mantenha suas informações privadas

Com uma senha, você pode usar a nuvem do Google para armazenar e sincronizar seus dados do Chrome sem permitir que o Google os leia. […] As senhas são opcionais. Seus dados sincronizados são sempre protegidos por criptografia quando em trânsito.

Se você já sincronizou suas sementes, não entre em pânico (eles não foram compartilhados com o Google de uma forma que tornaria mais fácil para outra pessoa bisbilhotar), mas você precisará redefinir as sequências 2FA para qualquer conta que agora decidir que provavelmente deveria ter salvado para você mesmo.

Afinal, você pode ter configurado 2FA para serviços online, como contas bancárias, onde os termos e condições exigem que você salve todas as credenciais de login, incluindo senhas e sementes, e nunca as compartilhe com ninguém, nem mesmo com o Google.

Se você tem o hábito de tirar fotos de códigos QR para suas sementes 2FA, Sem pensar muito, recomendamos que você não o faça.

Como gostamos de dizer na Naked Security: Em caso de dúvida / Não dê.

Os dados que você possui não podem ser vazados, roubados, intimados ou compartilhados com terceiros de qualquer tipo, deliberadamente ou por engano.


Atualizar. o google tem respondeu no Twitter ao relatório de @mysk_co, admitindo que lançou intencionalmente o recurso de sincronização de conta 2FA sem a chamada criptografia de ponta a ponta (E2EE), mas afirmou que a empresa “planeja oferecer E2EE para o Google Authenticator no futuro.” A empresa também afirmou que “A opção de usar o aplicativo off-line continuará sendo uma alternativa para quem prefere gerenciar sozinho sua estratégia de backup.” [2023-04-26T18:37Z]


You May Also Like

About the Author:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *