hadicanim
Aktif Üye
Google, kimlik doğrulayıcıya, bir kimlik doğrulayıcının tek seferlik şifreler ürettiği gizli tohumları yedeklemek veya senkronize etmek için sık sık talep edilen bir işlev verdi. Ancak, hassas sırlar beklendiği kadar güvenli değildir.
Yeni senkronizasyonla, kimlik doğrulayıcı aynı anda birkaç cihazda kullanılabilir – örneğin hem iOS hem de Android akıllı telefonlarda. Ve bir cihaz kaybolursa, kimlik doğrulayıcı örneğin yeni bir akıllı telefonda onunla kurulabilir.
Google Authenticator: Uçtan uca şifreleme yok
Bununla birlikte, ağ trafiğini incelerken, Twitter adı Mysk olan iOS uygulama geliştiricileri, uygulamanın bu sırları Google’a düz metin olarak gönderdiğini keşfetti: çok gizli veriler TLS ile aktarım güvenliğine sahip, ancak uçtan uca değil. şifreli (E2E). Bu veriler daha sonra örneğin Google tarafından okunabilir.
Haberler Security, sorunu rapor sırasında güncel olan Android 13 altında Google Authenticator sürümüyle yeniden oluşturabildi. TOTP sırrımız web üzerinden senkronize edildiğinde Google’a gitti. Ortadaki adam olarak, Base32 kodlaması ile veri akışında onu takip edebildik. Cihaz içi şifreleme, Google ayarlarında bile etkinleştirildi; bu, Google’ın şifre yöneticisinin yalnızca E2E korumalı şifreleri saklamasını sağlıyor. TOTP sırları için karşılık gelen bir güvenlik beklerdik.
Haberler Güvenlik sorunu anlayabilir – gizli tohum, senkronizasyon sırasında düz metin olarak satırın üzerinden geçer.
(Resim: Ekran görüntüsü / rei)
Son teknoloji uçtan uca şifreleme
Parolalar ve geçiş anahtarları gibi önemli sırlar için E2E şifrelemesi artık son teknoloji ürünü. Bu, yalnızca kullanıcının kendisinin, ancak bir hizmet sağlayıcının – veya onunla birlikte olan bir davetsiz misafirin – bu temel verilere erişimi olmasını sağlar. Google da uzun süre tereddüt ettikten sonra bunu fark etti ve geçiş anahtarlarını E2E korumasıyla güvence altına aldı. Google Şifre Yöneticisi bile artık bunu yapabilir.
Eşitlenen çekirdek, bir kimlik doğrulayıcının iki faktörlü güvenli oturum açma için geçerli kodu hesaplamak için kullandığı sırdır. Saldırganlar bunu iki faktörlü kimlik doğrulamayı atlamak ve parolayı zaten almış olmaları koşuluyla bu parolayla korunan hesaplara erişmek için kullanabilir. Bu nedenle bir yedekleme, yalnızca gerçek kullanıcıların erişebileceği şekilde güvence altına alınmalıdır. Daha önce bahsedilen şifrelerin ve geçiş anahtarlarının E2E şifrelemesi, Google’ın bunu yapabileceğini kanıtlıyor.
Bu nedenle, şu anda Google Authenticator’daki sırların senkronize edilmesi önerilmez. Mysk’i Twitter’da özetledi. Haberler Security, mevcut durumda, örneğin yanlışlıkla senkronizasyonu açarsanız, tohumların istenmeyen bir şekilde boşaltılmasını engelleyemeyeceğiniz için, kimlik doğrulayıcının tamamen kullanılmamasını tavsiye eder. Authy gibi diğer uygulamalar da TOTP sırlarının senkronizasyonunu ve yedeklenmesini sağlar, ancak bunları yalnızca kullanıcı tarafından bilinen bir ana parola ile güvence altına alır.
Yedeklemeyi zaten etkinleştirmiş olan herkes, önce yedeklemeyi tekrar devre dışı bırakmalı ve ardından kimlik doğrulayıcıyla yönetilen tüm hesapların iki faktörlü tohumlarını sıfırlamalıdır. Gizlilik bu şekilde geri yüklenebilir.
Google, şirketin yedekleme davranışını onaylayıp düzeltmek isteyip istemediği sorusuna henüz yanıt vermedi. Mysk, Şubat ayının sonunda Apple Store ve Google Play’de birkaç kötü amaçlı kimlik doğrulama uygulaması tespit etti. O zaman sorunu “kötü amaçlı veri çalma” veya “yetersizce programlanmış” olarak sınıflandırdılar.
(dmk)
Haberin Sonu
Yeni senkronizasyonla, kimlik doğrulayıcı aynı anda birkaç cihazda kullanılabilir – örneğin hem iOS hem de Android akıllı telefonlarda. Ve bir cihaz kaybolursa, kimlik doğrulayıcı örneğin yeni bir akıllı telefonda onunla kurulabilir.
Google Authenticator: Uçtan uca şifreleme yok
Bununla birlikte, ağ trafiğini incelerken, Twitter adı Mysk olan iOS uygulama geliştiricileri, uygulamanın bu sırları Google’a düz metin olarak gönderdiğini keşfetti: çok gizli veriler TLS ile aktarım güvenliğine sahip, ancak uçtan uca değil. şifreli (E2E). Bu veriler daha sonra örneğin Google tarafından okunabilir.
Haberler Security, sorunu rapor sırasında güncel olan Android 13 altında Google Authenticator sürümüyle yeniden oluşturabildi. TOTP sırrımız web üzerinden senkronize edildiğinde Google’a gitti. Ortadaki adam olarak, Base32 kodlaması ile veri akışında onu takip edebildik. Cihaz içi şifreleme, Google ayarlarında bile etkinleştirildi; bu, Google’ın şifre yöneticisinin yalnızca E2E korumalı şifreleri saklamasını sağlıyor. TOTP sırları için karşılık gelen bir güvenlik beklerdik.
Haberler Güvenlik sorunu anlayabilir – gizli tohum, senkronizasyon sırasında düz metin olarak satırın üzerinden geçer.
(Resim: Ekran görüntüsü / rei)
Son teknoloji uçtan uca şifreleme
Parolalar ve geçiş anahtarları gibi önemli sırlar için E2E şifrelemesi artık son teknoloji ürünü. Bu, yalnızca kullanıcının kendisinin, ancak bir hizmet sağlayıcının – veya onunla birlikte olan bir davetsiz misafirin – bu temel verilere erişimi olmasını sağlar. Google da uzun süre tereddüt ettikten sonra bunu fark etti ve geçiş anahtarlarını E2E korumasıyla güvence altına aldı. Google Şifre Yöneticisi bile artık bunu yapabilir.
Eşitlenen çekirdek, bir kimlik doğrulayıcının iki faktörlü güvenli oturum açma için geçerli kodu hesaplamak için kullandığı sırdır. Saldırganlar bunu iki faktörlü kimlik doğrulamayı atlamak ve parolayı zaten almış olmaları koşuluyla bu parolayla korunan hesaplara erişmek için kullanabilir. Bu nedenle bir yedekleme, yalnızca gerçek kullanıcıların erişebileceği şekilde güvence altına alınmalıdır. Daha önce bahsedilen şifrelerin ve geçiş anahtarlarının E2E şifrelemesi, Google’ın bunu yapabileceğini kanıtlıyor.
Bu nedenle, şu anda Google Authenticator’daki sırların senkronize edilmesi önerilmez. Mysk’i Twitter’da özetledi. Haberler Security, mevcut durumda, örneğin yanlışlıkla senkronizasyonu açarsanız, tohumların istenmeyen bir şekilde boşaltılmasını engelleyemeyeceğiniz için, kimlik doğrulayıcının tamamen kullanılmamasını tavsiye eder. Authy gibi diğer uygulamalar da TOTP sırlarının senkronizasyonunu ve yedeklenmesini sağlar, ancak bunları yalnızca kullanıcı tarafından bilinen bir ana parola ile güvence altına alır.
Yedeklemeyi zaten etkinleştirmiş olan herkes, önce yedeklemeyi tekrar devre dışı bırakmalı ve ardından kimlik doğrulayıcıyla yönetilen tüm hesapların iki faktörlü tohumlarını sıfırlamalıdır. Gizlilik bu şekilde geri yüklenebilir.
Google, şirketin yedekleme davranışını onaylayıp düzeltmek isteyip istemediği sorusuna henüz yanıt vermedi. Mysk, Şubat ayının sonunda Apple Store ve Google Play’de birkaç kötü amaçlı kimlik doğrulama uygulaması tespit etti. O zaman sorunu “kötü amaçlı veri çalma” veya “yetersizce programlanmış” olarak sınıflandırdılar.
(dmk)
Haberin Sonu