De 2fa-back-upcodes van de Googles Authenticator-app kunnen sinds deze week worden aangemaakt, worden niet eind-tot-eindversleuteld. Dat ontdekte Google na een ontdekking van privacyonderzoekers Mysk. Google zegt wel aan de eind-tot-eindversleuteling te werken.
Gegevens worden tijdens het verzenden en tijdens roest versleuteld opgeslagen, zegt Christiaan Brand, Group Product Manager bij Google. Deze versleuteling is echter niet eind-tot-eind. Google zegt hiervoor te hebben gekozen omdat eind-tot-eindversleuteling als risico heeft dat de gebruiker buitengesloten wordt van zijn of haar data. De huidige implementatie zou daarom een ’juiste balans’ zijn tussen veiligheid en gebruiksgemak, zegt Brand.
Het bedrijf is echter wel van plan om deze eind-tot-eindversleuteling uit te brengen, al zegt Brand niet wanneer dit zou zijn. Met het toevoegen van de eind-tot-eindversleuteling zou Google ervoor zorgen dat gebruikers ‘alle opties tot hun beschikking hebben’. Merk wijst er ook op dat gebruikers de cloud-back-upcodes kunnen schakelen en daarmee de app offline kunnen gebruiken.
De tweets van Brand zijn een reactie op ontdekkingen van twee privacyonderzoekers die zich hebben verenigd onder de naam Mysk. Deze onderzoekers kwamen op basis van het netwerkverkeer erachter dat de geheimen om een 2fa-code te kunnen maken, niet met eind-tot-eindversleuteling worden verzonden. Google of iemand met toegang tot Googles data zou zo de geheimen kunnen inzien, stellen de onderzoekers. Het bedrijf bracht de cloud-back-upfunctie eerder deze week uit.
(3/4) Om ervoor te zorgen dat we gebruikers een volledige set opties bieden, zijn we begonnen met het uitrollen van optionele E2E-codering in sommige van onze producten, en we hebben plannen om later E2EE voor Google Authenticator aan te bieden.
— Christiaan Merk (@christiaanbrand) 26 april 2023
credit :Source link