ما تحتاج إلى معرفته
- وجد باحثون من Mysk أن Google Authenticator لا يقوم بتشفير رموز 2FA للمستخدمين من طرف إلى طرف.
- يمكن لـ Google رؤية “الأسرار” اللازمة لأكواد 2FA مما يجعل المستخدمين عرضة لانتهاكات البيانات.
- استجابت Christiaan Brand من Google بالقول إن هناك خططًا لجلب E2EE إلى Google Authenticator في المستقبل.
بعد تحديث Google Authenticator الذي طال انتظاره ، شركة البرمجيات Mysk أصدر تحذيرًا للمستخدمين عدم تمكين الميزة بسبب مخاوف من أن الميزة غير آمنة.
قدم التحديث المعني مؤخرًا خيار مزامنة للرموز لمرة واحدة ، والتي من شأنها أن تسمح للمستخدمين بتخزينها في حسابات Google الخاصة بهم. كانت الفكرة هي المساعدة في منع حدوث موقف يتم فيه حظر المستخدم من جميع حساباته نظرًا لأنه تم تخزين هذه الرموز لمرة واحدة مسبقًا على الجهاز الذي تم تثبيت التطبيق عليه.
وجدت Mysk دليلًا على أن المستخدمين المهتمين باستخدام الميزة قد يحتاجون إلى مراعاة أن حركة مرور الشبكة الناتجة عن تطبيق Authenticator ليست مشفرة من طرف إلى طرف. يمكن لأي شخص لديه نية ضارة أن يسرق “السر” أو “البذرة” المستخدمة لإنشاء رمز 2FA QR الخاص بك. مع ذلك ، ستكون جهودك في إنشاء حاجز أمني أقوى موضع نقاش.
قامت Google للتو بتحديث تطبيق 2FA Authenticator الخاص بها وأضافت ميزة تمس الحاجة إليها: القدرة على مزامنة الأسرار عبر الأجهزة TL ؛ DR: لا تقم بتشغيلها ، يتيح التحديث الجديد للمستخدمين تسجيل الدخول باستخدام حساب Google الخاص بهم ومزامنة 2FA الأسرار عبر أجهزتهم iOS و Android … pic.twitter.com/a8hhelupZR26 أبريل 2023
بالإضافة إلى ذلك ، يذكر Mysk أن رموز 2FA QR لديها القدرة على احتواء معلومات أخرى عنك ، مثل اسم حسابك واسم الخدمة التي يستخدمها الرمز. تشير التكهنات إلى أن Google يمكن أن تستخدم هذه المعلومات لقصفك بإعلانات مخصصة من خلال خدماتها ، ولكن هذا قد يشكل خطرًا على المستخدمين. تنص Mysk على أنه إذا تعرضت Google في أي وقت لخرق البيانات ، فإن معلوماتك ستطير باتجاههم مباشرة.
رداً على ذلك ، أوضح كريستيان براند ، مدير المنتج في Google ، افتقار Authenticator لـ E2EE في ملف سقسقة يوم الخميس. على الرغم من أن التطبيق لا يوفر الحماية الأمنية التي يرحب بها المستخدمون ، إلا أن هناك خططًا لتقديم التشفير لاحقًا. ويذكر أن Google تقوم بتشفير بياناتك من جميع تطبيقاتها ، بما في ذلك Authenticator ، عندما تكون “قيد النقل وفي حالة الراحة”.
“في الوقت الحالي ، نعتقد أن منتجنا الحالي يحقق التوازن الصحيح لمعظم المستخدمين ويوفر فوائد كبيرة مقارنة بالاستخدام غير المتصل بالإنترنت” ، تتابع العلامة التجارية. علاوة على ذلك ، فإن تضمين تشفير أقوى مثل E2E يمكن أن يعيد إبراز احتمالية حظر المستخدمين من حساباتهم.
ومع ذلك ، كما ذكرنا سابقًا وكررت العلامة التجارية ، فإن مزامنة حساب Google Authenticator اختيارية تمامًا. إذا شعر المستخدمون بمزيد من الأمان عند استخدام التطبيق في حالة عدم الاتصال بالإنترنت ، مع التحكم في كيفية نسخ معلوماتهم احتياطيًا ، فسيظل ذلك متاحًا لهم.
اكتشاف المزيد من نص كم
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
