Google añadió hace un par de días una función muy solicitada en su aplicación Authenticator: la posibilidad de salvaguardar y sincronizar los códigos de doble factor de autenticación con tu cuenta de Google.
Esto significa que los usuarios de Google Authenticator pueden transferir «secretos» entre varios dispositivos, de modo que incluso si pierdes el dispositivo principal en el que tenías instalada la aplicación, puedes restaurarla en un dispositivo secundario y seguir utilizando la autenticación de dos factores (2FA).
Sin embargo, una empresa de seguridad ha revelado ahora un posible gran fallo en el diseño de esta funcionalidad de sincronización, que puede disuadir a algunos usuarios de seguir aprovechándola.
Los investigadores de seguridad de Mysk han informado de que la sincronización de los secretos de Google Authenticator entre dispositivos no está cifrada de extremo a extremo (E2E).
Por si no estás familiarizado, se usa un secreto para generar códigos 2FA (doble factor de autenticación) que son utilizados por los usuarios para iniciar sesión en varias cuentas. Dado que estos secretos no tienen cifrado E2E en la implementación de Google, un atacante que ponga en peligro la red, la cuenta de Google o la infraestructura relacionada podría acceder fácilmente a estos secretos y hacerse con el control de los códigos 2FA.
Por tanto, aunque sincronizar los secretos 2FA entre dispositivos es cómodo, se hace a expensas de tu privacidad
Google ha admitido que el cifrado E2E es deficiente en su actual despliegue de la funcionalidad de sincronización en Authenticator. Dice que esto se debe a su deseo de …