Seit wenigen Tagen wird ein Update für die App Google Authenticator ausgerollt, das nicht nur ein neues Icon für die App im Gepäck hat, sondern auch eine Cloud-Synchronisierung der Einmalpasswörter. Auf diese Synchronisierung haben viele Nutzer gewartet, doch auf die von Google gewählte Umsetzung vermutlich nicht: Laut mehreren Sicherheitsforschern werden die Seeds im Klartext übertragen.
Der Google Authenticator erhält in diesen Tagen ein Update, das eine Cloud-Synchronisierung der Einmalpasswörter im Gepäck hat. Wir haben euch erst kürzlich alle Details zum Update gezeigt, doch technische Einblicke gab es von Google in der Ankündigung natürlich nicht. Jetzt haben Sicherheitsforscher herausgefunden, und heise security als deutsche Quelle bestätigt, dass das Tool zur Übertragung der Daten zwischen der App und den Google-Servern keine Ende-zu-Ende-Verschlüsselung verwendet.
Zwar werden die Daten per TLS gesichert übertragen, aber es gibt keine Verschlüsselung der Daten, sodass diese für Google lesbar wären. Übertragen werden aber nicht die Einmalcodes, sondern die Seeds, aus denen Apps wie der Authenticator die Einmalcodes erstellen kann. Weil etwa der Google Passwortmanager eine E2E-Verschlüsselung nutzt, hätten die Sicherheitsforscher das auch beim Authenticator erwartet – doch dem war nicht so.
Bisher hat sich Google nicht dazu geäußert, ob es sich dabei um einen Bug oder um ein gewolltes Verhalten handelt. Bei heise geht man nun soweit, vollständig von der Nutzung des Authenticator und vor allem von dessen Synchronisierung abzuraten. UPDATE: Ein Googler hat sich nun geäußert, Sicherheitsvorkehrungen als Grund genannt und gleichzeitig in Aussicht gestellt, dass eine Verschlüsselung für die Zukunft geplant ist. Hier die entsprechenden Tweets:
(2/4) We encrypt data in transit, and at rest, across our products, including in Google Authenticator. E2EE is a powerful feature that provides extra protections, but at the cost of enabling users to get locked out of their own data without recovery.
— Christiaan Brand (@christiaanbrand) April 26, 2023
(4/4) Right now, we believe that our current product strikes the right balance for most users and provides significant benefits over offline use. However, the option to use the app offline will remain an alternative for those who prefer to manage their backup strategy themselves.
— Christiaan Brand (@christiaanbrand) April 26, 2023
[heise]