Authenticator Apps verwenden einen geheimen Algorithmus, um Einmalpasswörter zu erstellen, die zum Login in Onlinekonten genutzt werden. Eine von vielen Nutzerinnen und Nutzern gewünschte Funktion, diese so genannten Seeds zu sichern, sei nun in eine neue Back-u-Funktion des Google Authenticators integriert worden, berichtet das Internetportal Heise Online.
Datentransfer ohne E2E-Verschlüsselung
Damit lassen sich die im Authenticator gespeicherten Kontozugänge mühelos mit mehreren Geräten synchronisieren. Der Authenticator kann beispielsweise sowohl unter iOS als auch auf dem Android-Smartphone eingesetzt werden.
Die iOS-App-Entwickler mit dem Twitter-Namen Mysk fanden bei der Überprüfung des Netzwerkverkehrs aber heraus, dass die App diese geheimen Daten im Klartext an Google sendet. Dabei werde keine Ende-zu-Ende Verschlüsselung (E2E) eingesetzt, heißt es dazu in einer Aussendung von Heise. Man habe die Ausgangssituation nachstellen können und könne das Problem bestätigen.
„Kriminelle können Zweifaktorauthentifizierung knacken“
Eine E2E-Verschlüsselung sei nach derzeitigem Stand der Technik jedoch dringend empfehlenswert, so Heise. Damit wird sichergestellt, dass nur die Nutzerinnen und Nutzer, nicht aber der Onlinedienstanbieter oder ein Krimineller Zugriff auf die sensiblen Daten haben könne.
Bei dem synchronisierten Seed handelt es sich um das Geheimnis, mit dem der Authenticator den Code für eine Anmeldung über die Zweifaktorauthentifizierung (2FA) berechnet. Mit diesem können Angreifer also die Zweifaktorauthentifizierung aushebeln und auf die Konten zugreifen, sofern sie sich zuvor das Passwort beschafft haben, so Heise.
Heise empfiehlt Authenticator-App von Authy
Ein Backup müsse so gesichert sein, dass nur die berechtigten Nutzerinnen und Nutzer darauf zugreifen können, so Heise. Bei der von Google ebenfalls kürzlich eingeführten Möglichkeit, Passkeys einzusetzen, sei das der Fall.
Die Experten von Heise raten dazu, den Google Authenticator derzeit nicht zu nutzen und empfehlen stattdessen die App von Authy. Diese biete ebenfalls eine entsprechende Backupfunktion an, dieses Backup sei aber durch ein Master-Passwort geschützt, welches nur den Anwenderinnen und Anwendern bekannt ist.
Wer das Backup bereits aktiviert hat, sollte es zunächst wieder deaktivieren und anschließend die Zwei-Faktor-Seeds aller mit dem Authenticator verwalteten Konten zurücksetzen. So lasse sich die Vertraulichkeit wiederherstellen, so Heise.
Google : „Sicherheit an erster Stelle“
Google hat mittlerweile reagiert. Gegenüber Heise sagte eine Unternehmenssprecherin, dass die Sicherheit der Nutzerinnen und Nutzer immer an erster Stelle stehe. Die Daten seien während der Übertragung und im Ruhezustand bei allen Produkten verschlüsselt würden, das sei auch beim Google Authenticator der Fall. Die E2E-Verschlüsselung sei „eine leistungsstarke Funktion, die zusätzlichen Schutz bietet“. Man habe mittlerweile begonnen bei einigen Produkten E2E optional einzuführen und plane das auch beim Authenticator. Einen Zeitpunkt für die Einführung der E2E-Verschlüsselung beim Authenticator habe Goggle aber nicht genannt, so Heise.