ในสัปดาห์นี้ Google Authenticator ได้ประกาศเพิ่มฟีเจอร์ใหม่ เพื่อช่วยให้ผู้ใช้สามารถทำการ Backup รหัส 2FA ขึ้นบนระบบคลาวน์ได้ โดยฟีเจอร์ใหม่นี้จะอนุญาตให้ผู้ใช้สามารถเชื่อมต่อโทเค็น Google Authenticator 2FA เข้ากับบัญชี Google และช่วยให้ผู้ใช้งานสามารถ Backup ข้อมูลของ 2FA บนคลาวน์ เพื่อเข้าถึงรหัส 2FA ผ่านบัญชี Google ในภายหลัง หากเกิดเหตุการณ์โทรศัพท์ของผู้ใช้สูญหายหรือพัง
อย่างไรก็ตาม หลังจากประกาศนี้เผยแพร่ออกไป นักวิจัยด้านความปลอดภัยจาก Mysk พบว่า ข้อมูลดังกล่าว ไม่ได้มีการเข้ารหัสจาก End-to-end ในขณะที่ข้อมูลถูกอัปโหลดขึ้นไปยังเซิฟเวอร์คลาวน์ของ Google
“พวกเราวิเคราะห์ Traffic ของระบบเมื่อแอปพลิเคชันทำการเชื่อมต่อกับความลับเหล่านั้น และผลออกมาว่า Traffic ไม่ได้มีการเข้ารหัสจากต้นทางถึงปลายทาง” Mysk โพสต์บน Twitter
“ตามที่เห็นได้จากภาพ Screenshots หมายความว่า Google สามารถมองเห็นความลับเหล่านี้ได้ แม้ว่ามันจะถูกเก็บเอาไว้บนเซิฟเวอร์ก็ตาม มันไม่มีตัวเลือกในการข้ามขั้นตอนเพื่อปกป้องความลับเหล่านี้ เพื่อให้ความลับดังกล่าวสามารถเข้าถึงได้เฉพาะผู้ใช้งานเท่านั้น”
ฟีเจอร์นี้ จึงมีความเสี่ยงต่อการที่ผู้ใช้งาน ในกรณีที่สิทธิ์การถึงเข้าข้อมูลอาจถูกล็อก และไม่สามารถกู้คืนข้อมูลได้ หากผู้ใช้งานทำรหัสผ่านหาย
Christiaan Brand ผู้จัดการผลิตภัณฑ์ของ Google ได้กล่าวให้สัมภาษณ์กับ BleepingComputer ว่า การที่ไม่มีเข้ารหัสจากต้นทางถึงปลายทาง สิ่งนี้อาจทำให้ผู้ใช้บริการถูกล็อกจากข้อมูลของตนเอง Google จึงเปิดตัวฟีเจอร์นี้ด้วยความระมัดระวัง
ที่มา: Bleepingcomputer