Google Authenticator: Sicherheitsforscher warnen – neue Cloud-Synchronisierung überträgt Daten im Klartext

google 

Seit wenigen Tagen wird ein Update für die App Google Authenticator ausgerollt, das nicht nur ein neues Icon für die App im Gepäck hat, sondern auch eine Cloud-Synchronisierung der Einmalpasswörter. Auf diese Synchronisierung haben viele Nutzer gewartet, doch auf die von Google gewählte Umsetzung vermutlich nicht: Laut mehreren Sicherheitsforschern werden die Seeds im Klartext übertragen.


google authenticator logo

Der Google Authenticator erhält in diesen Tagen ein Update, das eine Cloud-Synchronisierung der Einmalpasswörter im Gepäck hat. Wir haben euch erst kürzlich alle Details zum Update gezeigt, doch technische Einblicke gab es von Google in der Ankündigung natürlich nicht. Jetzt haben Sicherheitsforscher herausgefunden, und heise security als deutsche Quelle bestätigt, dass das Tool zur Übertragung der Daten zwischen der App und den Google-Servern keine Ende-zu-Ende-Verschlüsselung verwendet.

Zwar werden die Daten per TLS gesichert übertragen, aber es gibt keine Verschlüsselung der Daten, sodass diese für Google lesbar wären. Übertragen werden aber nicht die Einmalcodes, sondern die Seeds, aus denen Apps wie der Authenticator die Einmalcodes erstellen kann. Weil etwa der Google Passwortmanager eine E2E-Verschlüsselung nutzt, hätten die Sicherheitsforscher das auch beim Authenticator erwartet – doch dem war nicht so.

Bisher hat sich Google nicht dazu geäußert, ob es sich dabei um einen Bug oder um ein gewolltes Verhalten handelt. Bei heise geht man nun soweit, vollständig von der Nutzung des Authenticator und vor allem von dessen Synchronisierung abzuraten. UPDATE: Ein Googler hat sich nun geäußert, Sicherheitsvorkehrungen als Grund genannt und gleichzeitig in Aussicht gestellt, dass eine Verschlüsselung für die Zukunft geplant ist. Hier die entsprechenden Tweets:




» Google Authenticator: Neue Version bringt optionale Cloud-Synchronisierung und ein neues Icon (Screenshots)

[heise]




Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 2 Kommentare zum Thema "Google Authenticator: Sicherheitsforscher warnen – neue Cloud-Synchronisierung überträgt Daten im Klartext"

  • Seid Tagen kann ich den Google Authenticator nicht nutzen – „es wird gerade ein Upgrade ausgeführt“.
    Auch nach mehrmaligem Neustart und Neuinstallation funktioniert nichts.
    was ist zu tun?

    • Liebe Britta, einfach unter Einstellungen die Schriftart auf „klein“ stellen. Dann klappts.

Kommentare sind geschlossen.