Googleは、「Google Authenticator」(Google認証システム)アプリに、クラウド同期という待望の機能を追加したが、この機能はエンドツーエンド暗号化(E2EE)がなされていない事が判明し、一部のユーザーはこの機能を利用し続ける場合は注意が必要となっている。
この事態については、Myskのセキュリティ研究者が、デバイス間でGoogle Authenticatorの情報を同期する際、エンドツーエンド(E2E)暗号化されていないことを発見し、報告した事で判明した。この情報は、ユーザーが様々なアカウントにログインするために利用する2FAコードを生成するために使用される。Googleの実装では、E2E暗号化されていないため、ネットワーク、Googleアカウント、または関連インフラを侵害する攻撃者は、これらの情報に簡単にアクセスでき、2FAコードを制御することが出来てしまうのだ。
さらにMyskは、Googleでさえ、パーソナライズされた広告のためにあなたの秘密を悪用する可能性があることを指摘した:
[2FAのQRコードには、通常、アカウント名やサービス名(Twitter、Amazonなど)などの他の情報が含まれています。)Googleはこれらのデータをすべて見ることができるため、あなたがどのオンラインサービスを利用しているかを知ることができ、この情報をパーソナライズされた広告に利用できる可能性があります。
驚くべきことに、Googleのデータエクスポートには、ユーザーのGoogleアカウントに保存されている2FAシークレットは含まれていない。私たちが使用したGoogleアカウントに関連するすべてのデータをダウンロードしたところ、2FAシークレットの痕跡は見つかりませんでした。
要するに、デバイス間で 2FA 秘密を同期することは便利ですが、プライバシーを犠牲にすることになります。幸いなことに、Google Authenticator には、サインインや秘密の同期をせずにアプリを使用するオプションが用意されています。現時点では、新しい同期機能を使用せずにアプリを使用することをお勧めします。
Googleは、E2E暗号化がないことに対するユーザーの懸念を聞き、Google Authenticatorの将来のバージョンに追加すると述べている。
Google Group Product ManagerのChristiaan Brand氏はBleepingComputerに、E2E暗号化によってユーザーが自分のデータから締め出される可能性があるため、この機能を自社製品で慎重に展開するようにしていると述べている。
“ユーザーのセキュリティと安全性は、Googleのすべての活動にとって最重要であり、私たちが真剣に取り組むべき責任です。最近のGoogle Authenticatorアプリのアップデートは、その使命を念頭に置いて行われたもので、ユーザーのセキュリティとプライバシーを保護しつつ、便利で役立つ方法で提供できるよう、慎重な手順を踏んでいます”
Google Authenticatorを含むGoogle製品では、データの転送時や保存時に暗号化を行っています。End-to-End Encryption (E2EE) は強力な保護機能ですが、その代償として、ユーザーが自分のデータを回復することなくロックアウトされる可能性があります。ユーザーにフルセットの選択肢を提供するため、一部の製品でオプションのE2EEを展開することも始めており、将来的にはGoogle AuthenticatorにもE2EEを提供する予定です。”
また、Googleは、Googleアカウントと同期したデータを暗号化するためのパスフレーズを設定できるGoogle Chromeなど、一部のサービスですでにE2E暗号化を提供している。
Source
- Myskのツイート
- via BleepingComputer: Google will add End-to-End encryption to Google Authenticator
