Google akan menambahkan enkripsi End-to-End pencadangan ke cloud Google Authenticator setelah peneliti memperingatkan pengguna agar tidak menyinkronkan kode 2FA dengan akun Google mereka.
Minggu ini, Google Authenticator akhirnya menerima fitur yang telah lama ditunggu-tunggu untuk dapat mencadangkan token 2FA ke cloud.
Fitur baru ini memungkinkan pengguna menyinkronkan token Google Authenticator 2FA mereka dengan akun Google mereka, memberikan cadangan jika perangkat seluler mereka hilang atau rusak. Itu juga memungkinkan pengguna untuk mengakses token 2FA mereka di beberapa perangkat selama semuanya masuk ke akun Google yang sama.
Tidak ada enkripsi End-to-End
Namun, segera setelah sinkronisasi cloud Google Authenticator diumumkan, peneliti keamanan di Mysk menemukan bahwa data tidak dienkripsi End-to-End saat diunggah ke server Google.
“Kami menganalisis lalu lintas jaringan saat aplikasi menyinkronkan rahasia, dan ternyata lalu lintas tersebut tidak terenkripsi ujung ke ujung,” tulis tweet dari Mysk.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don’t turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
“Seperti yang ditunjukkan pada tangkapan layar, ini berarti bahwa Google dapat melihat rahasia, bahkan mungkin saat disimpan di server mereka. Tidak ada opsi untuk menambahkan frasa sandi untuk melindungi rahasia, untuk membuatnya hanya dapat diakses oleh pengguna.”
Enkripsi End-to-End adalah saat data dienkripsi pada perangkat menggunakan kata sandi yang hanya diketahui pemiliknya sebelum dikirim dan disimpan di perangkat lain. Karena data ini dienkripsi, data tersebut tidak lagi dapat diakses oleh orang lain, bahkan mereka yang memiliki akses ke server tempat data disimpan.
Karena Google Authenticator tidak menawarkan enkripsi ujung-ke-ujung, data disimpan di server Google dalam format yang berpotensi diakses oleh pengguna yang tidak sah.
“Jadi, jika terjadi pelanggaran data atau jika seseorang memperoleh akses ke Akun Google Anda, semua rahasia 2FA Anda akan disusupi.”
Authy, aplikasi autentikator populer lainnya, semakin populer selama bertahun-tahun karena menawarkan cadangan cloud dari token 2FA yang dienkripsi End-to-End. Saat menggunakan fitur ini di Authy, pengguna harus memasukkan kata sandi yang hanya mereka yang tahu, menyebabkan data yang diunggah dienkripsi sebelum meninggalkan perangkat seluler mereka.
Selain itu, Authy tidak mengizinkan data untuk dicadangkan kecuali kata sandi enkripsi End-to-End diatur, memberikan keamanan yang lebih baik. Namun, fitur ini menimbulkan risiko, karena data pengguna dapat dikunci dan tidak dapat memulihkannya ke perangkat lain jika kehilangan kata sandi.
E2EE hadir di Google Authenticator
Google telah mendengar kekhawatiran pengguna tentang kurangnya enkripsi end-to-end dan mengatakan mereka akan menambahkannya ke versi Google Authenticator yang akan datang.
Manajer Produk Grup Google Christiaan Brand menyampaikan ke BleepingComputer bahwa kemungkinan akibat enkripsi End-to-End menyebabkan pengguna terkunci dari data mereka sendiri, maka mereka luncurkan fitur ini dengan hati-hati di Google Authenticator.
“Keamanan dan keselamatan pengguna kami sangat penting untuk semua yang kami lakukan di Google, dan ini adalah tanggung jawab yang kami anggap serius. Pembaruan terbaru untuk aplikasi Google Authenticator dilakukan dengan mempertimbangkan misi tersebut dan kami mengambil langkah hati-hati untuk memastikan kami dapat menawarkannya kepada pengguna dengan cara yang melindungi keamanan dan privasi mereka, tetapi juga bermanfaat dan nyaman, ”kata Brand pada BleepingComputer.