Cybersecurityexperts raden Google Authenticator gebruikers aan om de nieuwe synchronisatiefunctie van de applicatie niet te gebruiken. Wie hiermee verificatiecodes als back-up opslaat op zijn Google-account, moet er zich bewust van zijn dat deze informatie niet end-to-end versleuteld is. Dat betekent dat de zoekmachinegigant mogelijk toegang heeft tot netwerkverkeer dat wordt uitgewisseld, met alle gevolgen van dien.
Dat schrijven onderzoekers in een gedetailleerde tweet (1).
Dinsdag maakte Google bekend dat gebruikers van Google Authenticator een back-up kunnen maken van hun Time-based One-Time Passcodes (TOTP) en deze met hun Google-account kunnen synchroniseren (2). Dat biedt een groot voordeel. Voorheen werden deze verificatiecodes enkel lokaal opgeslagen. Met andere woorden, het was slechts met één specifiek apparaat mogelijk om 2FA-toegangscodes te ontvangen. Werd je mobiele telefoon gestolen of raakte je hem kwijt, dan had je niet langer toegang tot je online accounts waarvoor je tweestapsverificatie (3) had geactiveerd.
Doordat verificatiecodes voortaan online worden bewaard, kunnen gebruikers altijd inloggen op hun accounts. Andere authenticator-apps (4) hadden deze functionaliteit al ingebouwd. Na aanhoudende kritiek van gebruikers besloot Google om gehoor te geven aan deze wens. Het Amerikaanse technologiebedrijf zegt op deze manier gebruikers beter te willen beschermen tegen uitsluiting en aanbieders te garanderen dat hun klanten altijd toegang hebben tot hun account.
Beveiligingsspecialisten hebben de nieuwe feature van Google Authenticator onder de loep genomen. Ze analyseerden het netwerkverkeer wanneer de app verificatiecodes synchroniseerde met een Google-account. Zij adviseren gebruikers om de nieuwe functionaliteit van de applicatie niet aan te zetten.
Wat blijkt? Zodra Google Authenticator toegangscodes synchroniseert, is het netwerkverkeer niet eind-tot-eind versleuteld (5). “Dit betekent dat Google geheimen kan zien, waarschijnlijk zelfs terwijl ze op hun servers zijn opgeslagen”, schrijven de onderzoekers. Volgens hen is er geen optie om een wachtwoordzin of andere vorm van beveiliging toe te voegen om de geheimen te beschermen.
Volgens de onderzoekers is dat een slechte zaak en zelfs ronduit gevaarlijk. “Elke 2FA QR-code (6) bevat een geheim of seed dat wordt gebruikt om de eenmalige codes te genereren. Als iemand anders het geheim kent, kan hij dezelfde eenmalige codes genereren en de 2FA-bescherming omzeilen. Dus als er ooit een datalek plaatsvindt of als iemand toegang krijgt tot je Google-account, zijn al je 2FA-geheimen gecompromitteerd.”
De 2FA QR-codes bevatten tevens aanvullende informatie. Denk aan een accountnaam en de naam van de dienst waar iemand probeert in te loggen, zoals Twitter (7) of PayPal. Omdat Google deze informatie kan inzien, weet het techbedrijf precies welke online diensten iemand gebruikt. Google zou deze informatie kunnen gebruiken om gepersonaliseerde advertenties aan te bieden.
“Hoewel het synchroniseren van verificatiecodes tussen apparaten handig is, het gaat wel ten koste van je privacy” (8), luidt de conclusie van de onderzoekers. Dat betekent niet dat je Google Authenticator aan de wilgen hoeft te hangen. De app bevat de optie om hem te gebruiken zonder dat er verificatiecodes als back-up worden opgeslagen en gesynchroniseerd met je Google-account.
De onderzoekers raden iedereen aan om Google Authenticator te gebruiken zonder de nieuwe synchronisatiefunctie te activeren.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
https://www.vpngids.nl/nieuws/2fa-codes-google-authenticator-voortaan-beschikbaar-als-back-up-in-cloud/
https://www.vpngids.nl/veilig-internet/surfen/wat-is-twee-staps-verificatie/
https://www.vpngids.nl/veilig-internet/surfen/beste-authenticator-apps/
https://www.vpngids.nl/veilig-internet/surfen/wat-is-encryptie/
https://www.vpngids.nl/veilig-internet/cybercrime/qr-code-fraude/
https://www.vpngids.nl/privacy/social-media/wat-weet-twitter-over-mij/
https://www.vpngids.nl/privacy/financieel/is-paypal-veilig/
