Google membawa enkripsi ujung ke ujung ke cadangan cloud Google Authenticator setelah peneliti memperingatkan pengguna agar tidak menyinkronkan kode 2FA dengan akun Google mereka.
Minggu ini, Google Authenticator punya akhirnya menerima fitur yang telah lama ditunggu-tunggu untuk dapat mencadangkan token 2FA ke cloud.
Fitur baru ini memungkinkan pengguna menyinkronkan token Google Authenticator 2FA mereka dengan akun Google mereka, memberikan cadangan jika perangkat seluler mereka hilang atau rusak.
Itu juga memungkinkan pengguna untuk mengakses token 2FA mereka di beberapa perangkat selama semuanya masuk ke akun Google yang sama.
Tidak ada enkripsi ujung ke ujung
Namun, segera setelah sinkronisasi cloud Google Authenticator diumumkan, peneliti keamanan di Mysk menemukan bahwa data tidak dienkripsi ujung ke ujung saat diunggah ke server Google.
“Kami menganalisis lalu lintas jaringan saat aplikasi menyinkronkan rahasia, dan ternyata lalu lintas tersebut tidak dienkripsi secara end-to-end,” tulis sebuah tweet dari Mysk.
“Seperti yang ditunjukkan pada tangkapan layar, ini berarti bahwa Google dapat melihat rahasia, bahkan mungkin saat disimpan di server mereka. Tidak ada opsi untuk menambahkan frasa sandi untuk melindungi rahasia, untuk membuatnya hanya dapat diakses oleh pengguna.”
Enkripsi End-to-End adalah saat data dienkripsi pada perangkat menggunakan kata sandi yang hanya diketahui pemiliknya sebelum dikirim dan disimpan di perangkat lain. Karena data ini dienkripsi, data tersebut tidak lagi dapat diakses oleh orang lain, bahkan mereka yang memiliki akses ke server tempat data disimpan.
Karena Google Authenticator tidak menawarkan enkripsi ujung-ke-ujung, data disimpan di server Google dalam format yang berpotensi diakses oleh pengguna yang tidak sah, baik melalui pelanggaran Google atau karyawan yang tidak bermoral.
“Setiap kode QR 2FA mengandung rahasia, atau benih, yang digunakan untuk membuat kode satu kali. Jika orang lain mengetahui rahasianya, mereka dapat membuat kode satu kali yang sama dan mengalahkan perlindungan 2FA,” lanjut Mysk.
“Jadi, jika terjadi pelanggaran data atau jika seseorang memperoleh akses ke Akun Google Anda, semua rahasia 2FA Anda akan disusupi.”
Authy, aplikasi autentikator populer lainnya, semakin populer selama bertahun-tahun karena menawarkan cadangan cloud dari token 2FA yang dienkripsi ujung ke ujung.
Saat menggunakan fitur ini di Authy, pengguna harus memasukkan kata sandi yang hanya mereka yang tahu, menyebabkan data yang diunggah dienkripsi sebelum meninggalkan perangkat seluler mereka.
Selain itu, Authy tidak mengizinkan data untuk dicadangkan kecuali kata sandi enkripsi ujung-ke-ujung diatur, memberikan keamanan yang lebih baik.
Namun, fitur ini menimbulkan risiko, karena data pengguna dapat dikunci dan tidak dapat memulihkannya ke perangkat lain jika kehilangan kata sandi.
E2EE hadir di Google Authenticator
Google telah mendengar kekhawatiran pengguna tentang kurangnya enkripsi end-to-end dan mengatakan mereka akan menambahkannya ke versi Google Authenticator yang akan datang.
Manajer Produk Grup Google Christiaan Brand memberi tahu BleepingComputer bahwa karena kemungkinan enkripsi ujung ke ujung menyebabkan pengguna terkunci dari data mereka sendiri, mereka meluncurkan fitur ini dengan hati-hati di produk mereka.
“Keamanan dan keselamatan pengguna kami sangat penting untuk semua yang kami lakukan di Google, dan ini adalah tanggung jawab yang kami anggap serius. Pembaruan terbaru untuk aplikasi Google Authenticator dilakukan dengan mempertimbangkan misi tersebut dan kami mengambil langkah hati-hati untuk memastikan kami dapat menawarkannya kepada pengguna dengan cara yang melindungi keamanan dan privasi mereka, tetapi juga bermanfaat dan nyaman, ”kata Brand BleepingComputer.
“Kami mengenkripsi data saat transit, dan saat istirahat, di seluruh produk kami, termasuk di Google Authenticator. Enkripsi Ujung-ke-Ujung (E2EE) adalah fitur andal yang memberikan perlindungan ekstra, tetapi dengan biaya yang memungkinkan pengguna terkunci dari data mereka sendiri tanpa pemulihan. Untuk memastikan bahwa kami menawarkan serangkaian opsi lengkap bagi pengguna, kami juga telah mulai meluncurkan E2EE opsional di beberapa produk kami, dan kami berencana menawarkan E2EE untuk Google Authenticator di masa mendatang.”
Google juga sudah menyediakan enkripsi E2E di beberapa layanannya, seperti Google Chrome yang memungkinkan Anda mengatur frasa sandi untuk mengenkripsi data yang disinkronkan dengan akun Google.
