Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
https://gigazine.net/news/20230427-google-authenticator-isnt-e2e-encrypted/セキュリティ企業・Myskの研究者は、Google Authenticatorで当該ログイン情報がクラウドにアップロードされる際、E2E暗号化されていないことを発見しました。E2E暗号化されていないということは、Google AuthenticatorがGoogleのサーバーに送ったデータに本来は権限のないユーザーがアクセスできる可能性があるということです。そもそもコードベースのTOTPって端末を仮想的な物理トークンとして扱うためのものだし、エクスポートしてクラウド同期ってMFAが形骸化する気がする。
Embed Notice
HTML Code
Corresponding Notice
- Embed this notice
(にゃーん)よぽど・ワークベンチ(にゃん) (amaiyo@mk.yopo.work)'s status on Thursday, 27-Apr-2023 15:31:57 JST(にゃーん)よぽど・ワークベンチ(にゃん)