Google’s 2FA App Update Lacks End-to-End Encryption, Researchers Find
नए Google प्रमाणक ऐप अपडेट वाले उपकरणों के बीच समन्वयित डेटा को तृतीय पक्ष द्वारा देखा जा सकता है। Google का कहना है कि ऐप योजना के अनुसार काम करता है।
25 अप्रैल को, सुरक्षा शोधकर्ता टॉमी मायस्क और तलाल हज बकरी, जिन्हें ट्विटर पर सामूहिक रूप से Mysk के नाम से जाना जाता है, गूगल के ऑथेंटिकेटर 2FA ऐप के यूजर्स को आगाह किया नई सिंकिंग सुविधा को चालू नहीं करने के लिए। Mysk ने उस सुविधा में एक दोष पाया जिसमें “रहस्य” या उपकरणों में साझा किए गए क्रेडेंशियल एंड-टू-एंड एन्क्रिप्टेड नहीं हैं; यह हमलावरों या Google को उन क्रेडेंशियल्स को देखने की अनुमति दे सकता है।
Google Group Product Manager, Identity and Security Christiaan Brand ने ट्वीट कर यह जानकारी दी ऑथेंटिकेटर ऐप इरादा के अनुसार भेज दिया गया.
करने के लिए कूद:
अपडेट Google के प्रमाणक ऐप में क्या लाता है?
Android और iOS उपकरणों पर, उपयोगकर्ता सोशल मीडिया जैसी विभिन्न सेवाओं में लॉग इन करने के लिए 2FA क्रेडेंशियल्स को सिंक कर सकते हैं। यह बदलाव तब आया जब Google ने अपने 2FA ऑथेंटिकेटर ऐप को विभिन्न उपकरणों में क्रेडेंशियल सिंक करने के लिए सक्षम किया। माईस्क ने कहा, यह एक “अति-आवश्यक” सुविधा है, क्योंकि इससे खाते में वापस जाना आसान हो जाता है, भले ही आप उस डिवाइस तक पहुंच न सकें जिस पर आपने मूल रूप से लॉग इन किया था। हालांकि, नई सिंकिंग सुविधा एक प्रमुख के साथ आई थी। गलती।
Google के 2FA में सुरक्षा भेद्यता क्या है?
संक्षेप में, Google प्रमाणक में रहस्यों को सिंक करने के लिए उपयोग किया जाने वाला नेटवर्क ट्रैफ़िक एंड-टू-एंड एन्क्रिप्टेड नहीं है। 2FA क्यूआर कोड के भीतर प्रत्येक “गुप्त” का उपयोग एक अद्वितीय कोड उत्पन्न करने के लिए किया जाता है; जब ऑथेंटिकेटर ऐप डिवाइसों के बीच रहस्यों को सिंक करता है, तो उन्हें एक ऐसे प्रारूप में भेजा जाता है जिसे Google या हमलावर देख सकते हैं। ऐसी कोई सेटिंग नहीं है जिसके माध्यम से कोई उपयोगकर्ता पासफ़्रेज़ को अपने 2FA रहस्यों की रक्षा या अन्यथा अस्पष्ट कर सके। (माइस्क ने नोट किया कि Google क्रोम समान उपयोग के लिए पासफ़्रेज़ का समर्थन करता है।)
यदि कोई आपके Google खाते को डेटा उल्लंघन या किसी अन्य माध्यम से प्राप्त करता है, तो वे 2FA रहस्यों को खोज सकते हैं जो खाते की सुरक्षा को अनलॉक करते हैं।
एंड-टू-एंड एन्क्रिप्शन की कमी का अर्थ यह भी है कि प्रत्येक खाता स्वामी द्वारा उपयोग की जाने वाली सेवाओं के बारे में Google के पास एक पारदर्शी दृष्टिकोण है; यह वह जानकारी है जिसका उपयोग Google वैयक्तिकृत विज्ञापनों को लक्षित करने के लिए कर सकता है। यह उन खातों के नाम भी प्रकट कर सकता है, जिनमें पेशेवर और व्यक्तिगत ट्विटर खाते शामिल हैं, जो सार्वजनिक रूप से लिंक नहीं हो सकते हैं।
दिलचस्प बात यह है कि Mysk ने पाया कि ऐप उपयोगकर्ता के Google खाते से जुड़े 2FA क्रेडेंशियल्स को उजागर नहीं करता है।
देखना: Google वर्कस्पेस ने मार्च में जीमेल और कैलेंडर में क्लाइंट-साइड एन्क्रिप्शन जोड़ा।
Google प्रमाणक ऐप का सुरक्षित रूप से उपयोग कैसे करें
Google प्रमाणक को अपने Google खाते से लिंक किए बिना ऑफ़लाइन उपयोग करना इस सुरक्षा समस्या से बचने का एक तरीका है, क्योंकि इसमें समन्वयन सुविधा का उपयोग नहीं किया जाता है। हालाँकि, दोनों विकल्प नए अपडेट की बहुत सारी उपयोगिता को दूर करते हैं।
ट्विटर पर, माईस्क ने लिखा: “निचला रेखा: हालांकि डिवाइसों में 2FA रहस्यों को सिंक करना सुविधाजनक है, यह आपकी गोपनीयता की कीमत पर आता है। सौभाग्य से, Google प्रमाणक अभी भी साइन इन या रहस्यों को सिंक किए बिना ऐप का उपयोग करने का विकल्प प्रदान करता है। हम अभी के लिए नई सिंकिंग सुविधा के बिना ऐप का उपयोग करने की सलाह देते हैं।
Google ने इस सुरक्षा समाचार पर कैसे प्रतिक्रिया दी है
ब्रांड ने इन चिंताओं का जवाब दिया ट्विटरयह कहते हुए कि एंड-टू-एंड एन्क्रिप्शन द्वारा दी जाने वाली “अतिरिक्त सुरक्षा” को “उपयोगकर्ताओं को बिना पुनर्प्राप्ति के अपने स्वयं के डेटा को लॉक करने में सक्षम करने की लागत” के खिलाफ संतुलन के लिए अलग रखा गया था।
उन्होंने कहा, “यह सुनिश्चित करने के लिए कि हम उपयोगकर्ताओं को विकल्पों का एक पूरा सेट प्रदान कर रहे हैं, हमने अपने कुछ उत्पादों में वैकल्पिक E2E एन्क्रिप्शन को रोल आउट करना शुरू कर दिया है, और हमारी योजना है कि हम Google प्रमाणक के लिए E2EE पेश करें।”
