hadicanim
Aktif Üye
Yaklaşık bir ay önce Google, Authenticator uygulamasına, uygulamanın tek seferlik şifreler ürettiği gizli tohumları senkronize etme özelliği verdi. İyi niyetli genellikle kötü yapılır ve bu burada da geçerlidir: TLS şifreli bağlantıda, veriler düz metin olarak tutuldu. Çözüm, uç cihazdaki verileri şifrelemek yani uçtan uca şifrelemedir. Değişiklik günlüğüne göre bu, şu anda yayınlanan Google Authenticator güncellemesine eklenmelidir. Ancak öyle değil.
Üretici, Google Play Store’da kimlik doğrulayıcı için bir güncelleme sağladı. Gizli tohumların vaat edilen cihaz şifrelemesini sunması gerekiyor, ama vermiyor.
(Resim: Ekran Görüntüsü / dmk)
En azından Google Authenticator’ın 6.0 sürümü için değişiklik notu şöyle diyor: “Gizli değerleri depolamak için cihaz şifrelemesi eklendi.” BT güvenlik çevrelerindeki öfke nedeniyle Google, kimlik doğrulayıcıda uçtan uca şifreleme (E2EE) sağlayacağını duyurmuştu.
Google Authenticator: İddia edilen cihaz şifrelemesi, ancak E2EE yok
Haberler Security tarafından yeni sürümde eklenen hesaplar, beklendiği gibi Google Authenticator yedeğinde kaldı. Veriler, TLS şifreli bir bağlantı aracılığıyla korunur. Ancak, ortadaki adam olarak oraya bakarsanız, Base32 kodlu gizli tohumlar bulacaksınız – aslında düz metindir. Uçtan uca şifreleme ile tohumlar artık bulunmamalıdır.
Güncellemenin tam olarak neyi şifrelediği veya ne zaman şifrelediği belirsizliğini koruyor. Güncellemenin vaat edilen E2EE’yi sağlayıp sağlamadığına ve kullanıcıların aktivasyon için herhangi bir ayar yapması gerekip gerekmediğine ilişkin Haberler online’ın Google’dan gelen talebine yanıt bekleniyor.
Gizli tohum, TLS şifreli bağlantıda şifrelenmemiş düz metin olarak bulunabilir.
(Resim: Ekran görüntüsü / rei)
Mevcut bilgi durumuna göre, Haberler Security’den alınan ipucu, diğer kimlik doğrulama uygulamalarına güvenmeye devam ediyor. Authy gibi diğer uygulamalar, gizli tohumları yedekleyebilir, senkronize edebilir ve bunları yalnızca kullanıcının bildiği bir ana parola ile koruyabilir.
(dmk)
Haberin Sonu
Üretici, Google Play Store’da kimlik doğrulayıcı için bir güncelleme sağladı. Gizli tohumların vaat edilen cihaz şifrelemesini sunması gerekiyor, ama vermiyor.
(Resim: Ekran Görüntüsü / dmk)
En azından Google Authenticator’ın 6.0 sürümü için değişiklik notu şöyle diyor: “Gizli değerleri depolamak için cihaz şifrelemesi eklendi.” BT güvenlik çevrelerindeki öfke nedeniyle Google, kimlik doğrulayıcıda uçtan uca şifreleme (E2EE) sağlayacağını duyurmuştu.
Google Authenticator: İddia edilen cihaz şifrelemesi, ancak E2EE yok
Haberler Security tarafından yeni sürümde eklenen hesaplar, beklendiği gibi Google Authenticator yedeğinde kaldı. Veriler, TLS şifreli bir bağlantı aracılığıyla korunur. Ancak, ortadaki adam olarak oraya bakarsanız, Base32 kodlu gizli tohumlar bulacaksınız – aslında düz metindir. Uçtan uca şifreleme ile tohumlar artık bulunmamalıdır.
Güncellemenin tam olarak neyi şifrelediği veya ne zaman şifrelediği belirsizliğini koruyor. Güncellemenin vaat edilen E2EE’yi sağlayıp sağlamadığına ve kullanıcıların aktivasyon için herhangi bir ayar yapması gerekip gerekmediğine ilişkin Haberler online’ın Google’dan gelen talebine yanıt bekleniyor.
Gizli tohum, TLS şifreli bağlantıda şifrelenmemiş düz metin olarak bulunabilir.
(Resim: Ekran görüntüsü / rei)
Mevcut bilgi durumuna göre, Haberler Security’den alınan ipucu, diğer kimlik doğrulama uygulamalarına güvenmeye devam ediyor. Authy gibi diğer uygulamalar, gizli tohumları yedekleyebilir, senkronize edebilir ve bunları yalnızca kullanıcının bildiği bir ana parola ile koruyabilir.
(dmk)
Haberin Sonu