Google випустив оновлення для своєї популярної програми автентифікації, яка зберігає «одноразовий код» у хмарному сховищі, що дозволяє користувачам, які втратили пристрій із автентифікатором, зберегти доступ до свого 2FA.
У повідомленні в блозі від 24 квітня, в якому було оголошено про оновлення, Google повідомила, що одноразові коди зберігатимуться в обліковому записі Google користувача, і стверджувала, що користувачі будуть «краще захищені від блокування», а це підвищить «зручність і безпеку».
У дописі на Reddit від 26 квітня на форумі r/Cryptocurrency Redditor u/pojut написав, що оновлення допомагає тим, хто втрачає пристрій із додатком автентифікації, але робить їх більш уразливими для хакерів.
Зберігаючи його в хмарному сховищі, пов’язаному з обліковим записом Google користувача, це означає, що кожен, хто може отримати доступ до пароля користувача Google, згодом отримає повний доступ до своїх програм, пов’язаних із автентифікатором.
Користувач припустив, що потенційним способом вирішення проблеми SMS 2FA є використання старого телефону, який використовується виключно для розміщення вашої програми автентифікації.
«Я також настійно пропоную вам, якщо можливо, мати окремий пристрій (можливо, старий телефон або старий планшет), єдиною метою життя якого є використання для обраної вами програми автентифікації. Не тримайте на ньому більше нічого й не використовуйте його ні для чого».
Подібним чином розробники кібербезпеки Mysk звернулися до Twitter, щоб попередити про додаткові ускладнення, пов’язані з рішенням Google на основі хмарного сховища для 2FA.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk (@mysk_co) April 26, 2023
Це може викликати серйозне занепокоєння для користувачів, які використовують автентифікатор Google для 2FA для входу в облікові записи обмінників криптовалюти та інших пов’язаних з фінансами послуг.
Найпоширенішим зломом 2FA є тип шахрайства з особистими даними, відомий як «заміна SIM-карти», коли шахраї отримують контроль над номером телефону, обманом змушуючи постачальника телекомунікацій зв’язати номер із власною SIM-карткою.
Нещодавній приклад цього можна побачити в судовому процесі, поданому проти американської біржі криптовалют Coinbase, де клієнт стверджував, що втратив «90% своїх заощаджень» після того, як став жертвою такої атаки.
Примітно, що сама Coinbase заохочує використання програм автентифікації для 2FA на відміну від SMS і описує SMS 2FA як «найменш безпечну» форму автентифікації.
I'm guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it "secure" and SMS as "moderately secure".
— Dave Ferguson (@_sc0rn) March 7, 2023
За темою: OFAC накладає санкції на позабіржових трейдерів, які конвертували криптовалюту для північнокорейської групи Lazarus
На Reddit користувачі обговорювали позов і навіть пропонували заборонити SMS 2FA. Як зазначив один користувач Reddit, наразі це єдиний доступний варіант автентифікації для ряду фінтех-сервісів і сервісів, пов’язаних із криптовалютою:
«На жаль, багато служб, якими я користуюся, ще не пропонують Authenticator 2FA. Але я точно вважаю, що підхід до SMS-повідомлень виявився небезпечним і його слід заборонити».
Фірма безпеки блокчейнів CertiK попередила про небезпеку використання SMS 2FA, а її експерт з безпеки Джессі Леклер сказав Cointelegraph, що «SMS 2FA краще, ніж нічого, але це найбільш вразлива форма 2FA, яка зараз використовується».
