ارتقاء امنیت در گوگل با رمزگذاری سرتاسری

 گوگل پس از هشدار پژوهشگران درباره امنیت همگام‌سازی کدهای 2FA با حساب های کاربری، تصمیم گرفت که امکان رمزگذاری سرتاسری (End-to-End encryption)  را به پشتیبان‌گیری ابری Google Authenticator  اضافه کند.

به گزارش تکناک،  برنامه Google Authenticator، بالاخره این هفته قابلیت پشتیبان گیری از توکن های 2FA خود را به cloud اضافه کرد. این قابلیت جدید به کاربران اجازه می دهد تا توکن های  2FA Google Authenticator را با حساب گوگل خود همگام کنند و در صورت گم شدن یا خراب شدن دستگاه همراهشان، پشتیبانی از اطلاعات خود داشته باشند.

همچنین به کاربران اجازه می دهد تا در صورتی که همه آن‌ها وارد حساب Google یکسانی شده باشند، به توکن‌های 2FA خود روی چند دستگاه دسترسی داشته باشند.

بدون رمزگذاری سرتاسری

پس از اعلام همگام‌سازی ابری Google Authenticator، پژوهشگران امنیتی در Mysk متوجه شدند که در هنگام بارگذاری داده‌ها بر روی سرورهای گوگل، داده‌ها با رمزگذاری سرتاسری محافظت نشده‌اند. در یک توییت از Mysk آمده است: ما ترافیک شبکه را در هنگام انجام عملیات همگام‌سازی برنامه تایید هویت بررسی کردیم و متوجه شدیم که اطلاعات، مورد رمزگذاری سرتاسری قرار نمی‌گیرند.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

به عبارت دیگر، این بدان معنی است که گوگل قادر است به اسرار دسترسی پیدا کند، حتی در صورتی که اطلاعات همچنان در سرورهای آن‌ها ذخیره شده باشد. هیچ گزینه‌ای برای اضافه کردن رمز یا عبارت عبور به منظور حفاظت از اسرار وجود ندارد تا فقط توسط کاربر قابل دسترسی باشد.

رمزگذاری سرتاسری زمانی اتفاق می‌افتد که داده‌ها با استفاده از یک رمز عبور که فقط صاحب دستگاه آن را می‌شناسد، قبل از ارسال و ذخیره سازی بر روی دستگاه دیگری رمزگذاری شود. به عنوان اینکه این داده‌ها رمزگذاری شده‌اند، دیگر توسط هیچ کس دیگری، حتی کسانی که دسترسی به سروری که داده‌ها بر روی آن ذخیره شده‌اند را دارند، قابل دسترسی نیستند.

از آنجایی که Google Authenticator رمزگذاری سرتاسری را ارائه نمی‌دهد، داده‌ها به صورتی در سرور گوگل ذخیره می‌شوند که افراد غیرمجاز به طور بالقوه می‌توانند به آن‌ها دسترسی پیدا کنند، به عنوان مثال از طریق نفوذ به سرور گوگل یا توسط یک کارمند بی وجدان.

Mysk اضافه کرد: هر کد QR 2FA حاوی یک رمز یا یک seed است که برای تولید کدهای یکبار مصرف استفاده می شود. اگر کسی دیگر رمز را بداند، می تواند کدهای یکبار مصرف مشابهی تولید کند و محافظت و پشتیبانی 2FA را  از بین ببرد. بنابراین، اگر هروقت یک نفوذ در داده‌ها اتفاق بیفتد و یا کسی به حساب گوگل شما دسترسی پیدا کند، تمام اسرار 2FA شما در معرض خطر قرار میگیرد.

Authy، یک برنامه تایید هویت دیگر که سال‌هاست به شهرت رسیده است هم یک پشتیبان ابری از توکن‌های 2FA که رمزگذاری سرتاسری دارند را عرضه کرده است.

وقتی از این قابلیت در Authy  استفاده میکنید اجازه پشتیبان گیری از داده ها را نمی دهد مگر اینکه یک رمز عبور با ویژگی رمزگذاری سرتاسری تعیین شده باشد، که امنیت بهتری را فراهم می کند.

با این حال، این ویژگی خطری به همراه دارد زیرا در صورت از دست دادن رمز عبور، ممکن است دسترسی کاربران از داده‌های خود قطع شود و نتوانند آن را به دستگاه دیگری بازگردانند.

رمزگذاری سرتاسری در Google Authenticator

گوگل به نگرانی‌های کاربران درباره عدم وجود رمزگذاری سرتاسری پاسخ داده و اعلام کرده است که ویژگی رمزگذاری سرتاسری را به نسخه‌های آتی Google Authenticator اضافه خواهد کرد. کریستیان براند، مدیر محصول گروه گوگل، به BleepingComputer اعلام کرده است که به دلیل احتمال قطع دسترسی کاربران به داده‌هایشان، این ویژگی را با احتیاط در محصولات خود پیاده‌سازی خواهند کرد.

کریستیان براند در گفت‌وگو با  BleepingComputer اظهار داشت: امنیت و ایمنی کاربران برای گوگل بسیار حائز اهمیت است و این امر یک اولویت برای ما در گوگل است. به تازگی، برنامه Google Authenticator بروزرسانی شده و ما تلاش کرده‌ایم تا اطمینان حاصل کنیم که در ارائه این به کاربران، روشی امن و حفظ حریم خصوصی آنها را بهبود بخشیم و در عین حال بهره‌وری و سهولت آن را حفظ کنیم.

او ادامه داد: ما در تمامی محصولات خود، از جمله  Google Authenticator، در زمان عبور و در حالت ثابت، داده‌ها را رمزگذاری می‌کنیم. رمزگذاری سرتاسری (E2EE) یک ویژگی قدرتمند است که حفاظت بیشتری را فراهم می‌کند، اما قابلیت قطع دسترسی کاربران به داده‌های خود بدون بازیابی را نیز دارد. ما همچنین در حال پیاده‌سازی E2EE در برخی از محصولات خود به منظور ارائه یک مجموعه کامل از گزینه‌ها به کاربران هستیم و در آینده قصد داریم E2EE را در Google Authenticator نیز ارائه کنیم.

گوگل همچنین در برخی از خدمات خود، مانند Google Chrome، رمزگذاری E2E را فراهم می کند که به کاربران اجازه می دهد رمز عبوری را تعیین کنند تا داده هایی که با حساب گوگل همگام می شوند را رمزگذاری کنند.