เตือนภัย ! ผู้ใช้ Google Authenticator เสี่ยงถูกแฮ็ก หลังแอปรองรับการซิงค์รหัส 2FA บน Cloud

ติดตามสยามบล็อกเชนบน

การอัปเดตตัวตรวจสอบ 2FA ของ Google อาจทำให้ผู้ใช้เสี่ยงต่อการถูกแฮ็กแบบ single-point hacks และเสี่ยงต่อการถูกหลอกลวงในรูปแบบ “SIM Swapping”

เมื่อวันที่ 24 เมษายนที่ผ่านมา Google Authenticator ได้ประกาศการอัปเดตครั้งใหม่ที่จะทำให้ผู้ใช้สามารถซิงค์รหัส 2FA ด้วยการใช้บัญชี Google

โดยการอัปเดตในครั้งนี้ จะมีการจัดเก็บรหัสแบบใช้ครั้งเดียว (the one-time codes) ในที่เก็บข้อมูลบนคลาวด์ เพื่อช่วยให้ผู้ใช้ที่ทำอุปกรณ์หายสามารถเข้าถึงการยืนยันตัวตนแบบ 2FA ของตนได้

Google กล่าวว่า รหัสแบบใช้ครั้งเดียวนี้จะถูกจัดเก็บไว้ในบัญชี Google ของผู้ใช้ ซึ่งจะช่วยเพิ่ม “ความสะดวกและความปลอดภัย” ให้กับผู้ใช้งาน

ในอีกด้านหนึ่ง เมื่อวันที่ 26 เมษายน ผู้ใช้ Reddit ชื่อว่า pojut ได้อธิบายว่า แม้การอัปเดตล่าสุดนี้จะช่วยให้ผู้ที่ทำอุปกรณ์หาย กู้คืนรหัส 2FA ผ่าน Cloud แต่การอัปเดตครั้งนี้จะทำให้พวกเขาเสี่ยงต่อการถูกแฮ็กมากขึ้น

pojut ชี้ให้เห็นว่า การรักษาความปลอดภัยของข้อมูลด้วยการเก็บข้อมูลไว้บนคลาวด์ที่เชื่อมโยงกับบัญชี Google ของผู้ใช้ นั่นหมายความว่าใครก็ตามที่เข้าถึงรหัสผ่าน Google ของผู้ใช้ได้ จะได้รับสิทธิ์เข้าถึงแอปที่เชื่อมโยงกับตัวตรวจสอบสิทธิ์ของพวกเขาด้วย

ดังนั้น pojut จึงแนะนำว่า วิธีการแก้ปัญหา SMS ของ 2FA คือ การใช้โทรศัพท์เครื่องเก่าที่ใช้สำหรับแอปยืนยันตัวตนเพียงอย่างเดียว

“ผมขอแนะนำว่า ถ้าเป็นไปได้ คุณควรมีอุปกรณ์แยกต่างหาก (อาจเป็นโทรศัพท์เครื่องเก่าหรือแท็บเล็ตเครื่องเก่า) ซึ่งมีวัตถุประสงค์เพียงอย่างเดียวในชีวิต คือ การซิงค์กับแอปยืนยันตัวตนที่คุณเลือก อย่าเก็บสิ่งอื่นไว้ และอย่าใช้มันทำอย่างอื่น”

โพสต์ของ pojut นำไปสู่ประเด็นถกเถียงกันในชุมชน Reddit โดยผู้ใช้จำนวนไม่น้อยที่เสนอให้แบนการใช้ SMS กับ 2FA เนื่องจากความกังวลเกี่ยวกับการโจมตีด้วยวิธี Sim Swap แม้ว่าผู้ใช้ Reddit รายหนึ่งจะพยายามเดือนว่าขณะนี้ฟีเจอร์ดังกล่าวเป็นตัวเลือกการตรวจสอบสิทธิ์เพียงตัวเลือกเดียวสำหรับบริการที่เกี่ยวข้องกับฟินเทคและ Crypto

“น่าเสียดายที่บริการจำนวนมากที่ผมใช้ยังไม่มี Authenticator 2FA แต่ผมก็คิดว่าวิธีการยืนยันตัวตนทาง SMS ได้รับการพิสูจน์แล้วว่ามันไม่ปลอดภัย และควรถูกแบน”

ในทำนองเดียวกัน Mysk ผู้พัฒนาความปลอดภัยทางไซเบอร์ ยังเป็นอีกคนหนึ่งที่ออกมาเตือนถึงผลกระทบเพิ่มเติมที่มาพร้อมกับโซลูชันบนพื้นที่เก็บข้อมูลบน Cloud ของ Google

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

สิ่งนี้แสดงให้เห็นว่า การอัปเดต Authenticator กำลังสร้างความกังวลให้กับผู้ที่ใช้การยืนยันตัวตนแบบ 2FA ใน Google Authenticator เพื่อลงชื่อเข้าใช้บัญชี เว็บเทรด Crypto และบริการอื่น ๆ ที่เกี่ยวข้องกับการเงิน

Feel bad for Mr. Ferguson (no relation). But not sure why Coinbase would be responsible. Things that aren't Coinbase's fault:
• His password was compromised
• He chose SMS vs. Authenticator app for 2FA
• A successful SIM swap attack was performedhttps://t.co/Wh4llyRUPe
— Dave Ferguson (@_sc0rn) March 7, 2023

นอกจากนี้ บริษัทรักษาความปลอดภัยบล็อกเชน CertiK ยังเตือนถึงอันตรายของการใช้ SMS กับ 2FA ด้วยเช่นกัน โดย Jesse Leclere ผู้เชี่ยวชาญด้านความปลอดภัย ได้ออกมากล่าวให้สัมภาษณ์ว่า “การมี SMS 2FA มันดีกว่าไม่มีอะไรเลย แต่ 2FA ก็เป็นรูปแบบการยืนยันตัวตนที่เปราะบางที่สุดที่เรากำลังใช้งานกันอยู่”

ที่มา: cointelegraph