Hôm nay, Google Authenticator đã bị tiết lộ không có tính năng mã hóa đầu cuối, gây ra rủi ro bảo mật cho người dùng. Đây là công cụ xác thực hai yếu tố mới của Google, hoạt động bằng cách cung cấp các mã duy nhất cho các trang web như một lớp bảo vệ thứ hai bên trên mật khẩu người dùng. Gần đây, Google đã thông báo rằng người dùng có thể đồng bộ hóa Authenticator với tài khoản Google và sử dụng nó trên nhiều thiết bị khác nhau. Tuy nhiên, các nhà nghiên cứu bảo mật và nhà phát triển ứng dụng cho công ty phần mềm Mysk đã phát hiện ra rằng dữ liệu cơ bản không được mã hóa đầu cuối. Điều này tạo ra tồn tại sự rủi ro cho quá trình quản lý bảo mật thông tin cá nhân của người dùng. Google có thể sử dụng dữ liệu này cho mục đích quảng cáo được nhắm mục tiêu. Người dùng có thể sử dụng Authenticator mà không cần kết nối nó với tài khoản Google hoặc đồng bộ nó trên các thiết bị khác nhau. Các thử nghiệm đã phát hiện ra rằng ai có hạt giống tạo mã xác thực hai yếu tố có thể sử dụng nó để vi phạm tài khoản của bạn. Google vẫn chưa bình luận về vấn đề này và chưa công bố kế hoạch thêm mật khẩu bảo vệ vào Authenticator. #GoogleAuthenticator #bảo mật #mã hóa #tài khoản #mã #quảng cáo #dữ liệu #mật khẩu #xác thực hai yếu tố #Mysk #nguy cơ #phát hiện #công nghệ #thông tin #đồng bộ hóa #tài khoản Google #sự kiện ngày hôm nay
Công cụ xác thực hai yếu tố mới của Google được phát hiện không cung cấp mã hóa đầu cuối, điều này có thể dẫn đến rủi ro bảo mật.
Ứng dụng Authenticator hoạt động bằng cách cung cấp các mã duy nhất cho các trang web được yêu cầu dưới dạng lớp bảo vệ thứ hai bên trên mật khẩu người dùng. Đầu tuần này, Google đã thông báo rằng giờ đây người dùng có thể đồng bộ hóa Authenticator với một tài khoản Google và sử dụng nó trên nhiều thiết bị. Động thái này của gã khổng lồ công nghệ giúp loại bỏ nguy cơ bị khóa tài khoản do thất lạc điện thoại.
Tuy nhiên, khi các nhà nghiên cứu bảo mật và nhà phát triển ứng dụng cho công ty phần mềm Mysk tìm hiểu sâu hơn về sự thay đổi này, họ nhận thấy rằng dữ liệu cơ bản không được mã hóa nối đầu. Công ty sẽ tiếp tục giải thích trên Twitter rằng Google có thể nhìn thấy ‘bí mật’ ngay cả khi chúng được lưu trữ trên máy chủ của họ. Từ ‘bí mật’ trong thế giới bảo mật được sử dụng để mô tả thông tin đăng nhập hoạt động như một chìa khóa để mở khóa tài khoản hoặc công cụ.
Điều này mở ra khả năng cho Google xem qua các ứng dụng và dữ liệu của người dùng cho mục đích quảng cáo được nhắm mục tiêu.
Toàn bộ tweet từ Mysk nêu chi tiết mối quan tâm của nó có thể được tìm thấy bên dưới:
Google vừa cập nhật ứng dụng 2FA Authenticator và thêm một tính năng rất cần thiết: khả năng đồng bộ bí mật giữa các thiết bị.
TL;DR: Đừng bật nó lên.
Bản cập nhật mới cho phép người dùng đăng nhập bằng Tài khoản Google của họ và đồng bộ hóa bí mật 2FA trên các thiết bị iOS và Android của họ.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) Ngày 26 tháng 4 năm 2023
Người dùng có thể sử dụng Authenticator mà không cần kết nối nó với tài khoản Google của họ hoặc bằng cách đồng bộ hóa nó trên các thiết bị khác như một phương tiện để vượt qua sự cố. Nhược điểm của điều này là nó làm cho bản cập nhật mới nhất trở nên vô dụng.
Google có thể không phải là người duy nhất có thể xem dữ liệu của bạn. Các thử nghiệm được tiến hành đã phát hiện ra rằng lưu lượng truy cập không được mã hóa có chứa một hạt giống tạo mã xác thực hai yếu tố và theo nhà nghiên cứu Tommy Mysk, bất kỳ ai có hạt giống đó đều có thể tạo mã có thể được sử dụng để vi phạm tài khoản của bạn.
Phát hiện này có liên quan, xem xét công ty có thực hiện các bước với các công cụ tương tự để ngăn chặn gián điệp dữ liệu.
Google vẫn chưa bình luận về vấn đề này và chưa công bố kế hoạch thêm mật khẩu bảo vệ vào Authenticator.
Tín dụng hình ảnh: Google
Nguồn: @mysk_co Thông qua: Gizmodo
