Google Authenticator introduziu recentemente um atualizar sincronização de códigos de uso único em suas contas do Google, a fim de evitar que os usuários sejam bloqueados de suas contas em caso de mudança de smartphone.
No entanto, a empresa de software Mysk está alertando os usuários para não confiarem mais no aplicativo para gerenciar senhas seguras. Mas por que? Vejamos nas próximas linhas.
O Google Authenticator não tem mais criptografia
Mysk descobriu que o tráfego de rede gerado pelo aplicativo Authenticator não é criptografado de ponta a ponta, aumentando o risco de que códigos de uso único possam ser comprometidos por um invasor. Embora a atualização pareça atender a uma necessidade prática, os riscos associados ao uso do Autenticador podem superar os benefícios.
A empresa apontou que eu Códigos QR 2FA pode conter informações pessoais, como sua conta e nome do serviço. Embora não haja evidências de que o Google use essas informações para enriquecer anúncios personalizados, eu riscos de privacidade de usuários seria alto. No caso de uma violação de dados, suas informações pessoais podem ser expostas a terceiros.
O Google respondeu às preocupações de seus usuários por meio de um tweet do gerente de produto Christiaan Brand. Brand explicou que, apesar da falta de criptografia dos códigos no Authenticator, há planos para oferecer proteção de segurança no futuro.
Eis as suas palavras: "No momento, acreditamos que nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos em relação ao uso off-line. Além disso, a inclusão de criptografia mais forte como E2E pode ressurgir a possibilidade de os usuários serem bloqueados em suas contas".
Brand também apontou que sincronizar sua conta do Google Authenticator é totalmente opcional. Os usuários então têm controle total sobre como suas informações são copiadas e podem optar por usar o aplicativo no modo offline se se sentirem mais seguros.
