Google выпустила обновление для своего популярного приложения-аутентификатора, которое хранит «одноразовый код» в облачном хранилище, позволяя пользователям, потерявшим устройство со своим аутентификатором, сохранить доступ к своей двухфакторной аутентификации (2FA).
В сообщении блога от 24 апреля, объявляющем об обновлении, Google сообщил, что одноразовые коды будут храниться в учетной записи Google пользователя, утверждая, что пользователи будут «лучше защищены от блокировки» и это повысит «удобство и безопасность».
В сообщении Reddit от 26 апреля на форуме r/Cryptocurrency Redditor u/pojut написал, что, хотя обновление действительно помогает тем, кто потерял устройство с установленным на нем приложением для аутентификации, оно также делает их более уязвимыми для хакеров.
Защищая его в облачном хранилище, связанном с учетной записью Google пользователя, это означает, что любой, кто может получить доступ к паролю Google пользователя, впоследствии получит полный доступ к своим приложениям, связанным с аутентификатором.
Пользователь предположил, что потенциальным способом решения проблемы SMS 2FA является использование старого телефона, который используется исключительно для размещения вашего приложения для аутентификации.
«Я также настоятельно рекомендую, если это возможно, иметь отдельное устройство (возможно, старый телефон или старый планшет), единственная цель которого в жизни — использовать его для выбранного вами приложения для аутентификации. Не держите на нем ничего другого и не используйте его ни для чего другого.
Точно так же разработчики кибербезопасности Mysk обратились в Twitter, чтобы предупредить о дополнительных сложностях, связанных с решением Google на основе облачного хранилища для 2FA.
Google только что обновил свое приложение 2FA Authenticator и добавил столь необходимую функцию: возможность синхронизации секретов между устройствами.
TL;DR: не включайте его.
Новое обновление позволяет пользователям входить в свою учетную запись Google и синхронизировать секреты 2FA на своих устройствах iOS и Android.… pic.twitter.com/a8hhelupZR
— Мыск (@mysk_co) 26 апреля 2023 г.
Это может оказаться серьезной проблемой для пользователей, которые используют Google Authenticator для 2FA для входа в свои учетные записи криптобиржи и другие службы, связанные с финансами.
Наиболее распространенный взлом 2FA — это тип мошенничества с идентификацией, известный как «подмена SIM-карты», когда мошенники получают контроль над номером телефона, обманом заставляя оператора связи связать номер со своей собственной SIM-картой.
Недавний пример этого можно увидеть в судебном иске, поданном против американской биржи криптовалют Coinbase, где клиент заявил, что потерял «90% своих сбережений» после того, как стал жертвой такой атаки.
Примечательно, что сама Coinbase поощряет использование приложений-аутентификаторов для 2FA, а не SMS, описывая SMS 2FA как «наименее безопасную» форму аутентификации.
Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был взломан. Кроме того, Coinbase поощряет приложение Authenticator для 2FA, помечая его как «безопасное», а SMS как «умеренно безопасное».
— Дэйв Фергюсон (@_sc0rn) 7 марта 2023 г.
Связанный: OFAC вводит санкции против внебиржевых трейдеров, конвертировавших криптовалюту для северокорейской группы Lazarus
На Reddit пользователи обсуждали судебный процесс и даже предлагали запретить SMS 2FA, хотя один пользователь Reddit отметил, что в настоящее время это единственный вариант аутентификации, доступный для ряда финтех-сервисов и сервисов, связанных с криптовалютой:
«К сожалению, многие сервисы, которыми я пользуюсь, еще не предлагают Authenticator 2FA. Но я определенно считаю, что SMS-подход оказался небезопасным и должен быть запрещен».
Фирма по безопасности блокчейна CertiK предупредила об опасностях использования SMS 2FA, а ее эксперт по безопасности Джесси Леклер сказал , что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время».
Журнал: 4 из 10 продаж NFT являются поддельными: научитесь замечать признаки фиктивной торговли
Источник: Сointеlеgrаph
