В новую версию приложения двухфакторной аутентификации (2FA) от Google добавили функцию облачной синхронизации, что может угрожать безопасности данных пользователей, считают аналитики SlowMist.
SlowMist Security Alert
Recently, @Google Authenticator iOS has launched version 4.0, which supports cloud synchronization. Users can synchronize the verification code generated by the authenticator to all Google accounts and devices, and can obtain the verification code at…
— SlowMist (@SlowMist_Team) April 25, 2023
«Если вы используете этот метод резервного копирования, то ваша электронная почта находится в опасности. После потери доступа к email проверочный код 2FA может быть украден, что чревато огромными рисками», — пояснила команда безопасности.
В четвертой версии приложения пользователи могут синхронизировать код подтверждения со всеми учетными записями Google, а также восстановить его в случае потери доступа.
Однако это обновление открывает широкий простор для мошенников, так как 2FA больше не привязана к конкретному устройству. Таким образом, злоумышленники могут получить контроль над взломанным аккаунтом из любой точки мира.
Ранее доступ можно было восстановить только с помощью резервного кода, который создавался при первоначальной настройке Google Authenticator.
По словам представителей корпорации, решение по обновлению ПО принято из-за частых жалоб пользователей на трудности авторизации при потере устройства.
«Это обновление улучшает функциональность защиты от блокировки. Сервисы могут полагаться на то, что пользователи сохранят доступ к своим аккаунтам, что повышает как удобство, так и безопасность», — говорится в заявлении Google.
Напомним, в апреле пользователи MetaMask потеряли более $10,5 млн из-за неизвестного эксплойта. Разработчики отметили, что проблема затронула все кошельки, включая даже аппаратные или сгенерированные для предварительной продажи Ethereum.
