Google выпустила обновление для своего популярного приложения-аутентификатора, которое хранит «одноразовый код» в облачном хранилище, позволяя пользователям, потерявшим устройство с аутентификатором, сохранить доступ к своей двухфакторной аутентификации.
В сообщении блога от 24 апреля, объявляющем об обновлении, Google заявил, что одноразовые коды будут храниться в учетной записи пользователя Google, и заявил, что пользователи будут «лучше защищены от блокировки», и это повысит «удобство и безопасность».
В сообщении Reddit от 26 апреля на форуме r/Cryptocurrency пользователь Redditor u/pojut написал, что, хотя обновление действительно помогает тем, кто потерял устройство с установленным на нем приложением для аутентификации, оно делает их более уязвимыми для хакеров.
Защищая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто может получить доступ к паролю Google пользователя, впоследствии получит полный доступ к своим приложениям, связанным с аутентификатором.
Пользователь предположил, что потенциальным способом решения проблемы SMS 2FA является использование старого телефона, который используется исключительно для размещения вашего приложения для аутентификации.
«Я также настоятельно рекомендую, если это возможно, иметь отдельное устройство (возможно, старый телефон или старый планшет), единственная цель которого в жизни — использовать его для выбранного вами приложения для аутентификации. Не держите на нем ничего другого и не используйте его ни для чего другого.
Точно так же разработчики кибербезопасности Mysk обратились в Twitter, чтобы предупредить о дополнительных сложностях, связанных с решением Google на основе облачного хранилища для 2FA.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk (@mysk_co) April 26, 2023
Это может оказаться серьезной проблемой для пользователей, которые используют аутентификатор Google для 2FA для входа в свои учетные записи обмена криптовалютами и другие финансовые услуги.
Наиболее распространенный взлом 2FA — это тип мошенничества с идентификацией, известный как «подмена SIM-карты», когда мошенники получают контроль над номером телефона, обманом заставляя оператора связи связать номер со своей собственной SIM-картой.
Недавний пример этого можно увидеть в судебном иске, поданном против американской биржи криптовалют Coinbase, где клиент заявил, что потерял «90% своих сбережений» после того, как стал жертвой такой атаки.
Примечательно, что сама Coinbase поощряет использование приложений-аутентификаторов для 2FA, а не SMS, и описывает SMS 2FA как «наименее безопасную» форму аутентификации.
I'm guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it "secure" and SMS as "moderately secure".
— Dave Ferguson (@_sc0rn) March 7, 2023
По теме: OFAC вводит санкции против внебиржевых трейдеров, которые конвертировали криптовалюту для северокорейской группы Lazarus
На Reddit пользователи обсуждали иск и даже предлагали запретить SMS 2FA. Как отметил один пользователь Reddit, в настоящее время это единственный вариант аутентификации, доступный для ряда финтех-сервисов и сервисов, связанных с криптовалютой:
«К сожалению, многие сервисы, которыми я пользуюсь, еще не предлагают Authenticator 2FA. Но я определенно считаю, что SMS-подход оказался небезопасным и должен быть запрещен».
Фирма по безопасности блокчейна CertiK предупредила об опасностях использования SMS 2FA, а ее эксперт по безопасности Джесси Леклер сказал Cointelegraph, что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время».
