Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext
Google hat den Authenticator, einen Generator für Einmalpasswörter, erst vor kurzem mit einer von vielen Nutzern gewünschten Funktion zur Synchronisation ausgestattet. Nun will ein Entwickler aber herausgefunden haben, dass die jeweiligen Daten nicht mit Ende-zu-Ende-Verschlüsselung übertragen werden.
Bequeme und übergreifende Nutzung
Mit der neuen Funktion soll sich der Google Authenticator unter anderem auf mehreren Geräten gleichzeitig nutzen lassen. Dabei können die geteilten Daten auch als Backup dienen – wenn ein Mobilgerät ersetzt werden soll, kann die App darüber auf einem neuen Smartphone oder Tablet bequem eingerichtet werden.
Nicht ausreichend gesichert
Die dafür ausgetauschten Daten werden dem Anschein nach zwar mit einer TLS-Transportsicherung versehen, sind aber nicht Ende-zu-Ende-verschlüsselt – wie jetzt ein iOS-App-Entwickler „Mysk“ herausgefunden haben will. Somit werden die Daten im Klartext an Googles Server sowie die jeweiligen Geräte gesendet. Google könnte wie auch eventuelle Angreifer die übertragenen Informationen mitlesen.
Problem bestätigt
Einem Bericht von Heise zufolge konnte das Problem bei der zu dem Zeitpunkt aktuellen Version des Google Authenticators unter Android 13 nachgestellt werden. Bei der Synchronisierung wurde der sogenannte Seed an die Server von Google übertragen, mittels einer Man-in-the-Middle-Aktion konnte dieses Base32-kodiert im Datenstrom aufgespürt werden. In den Google-Einstellungen war dem Bericht zufolge zudem die On-device-Encryption aktiviert, wodurch Googles Passwort-Manager Passwörter nur E2E-gesichert speichert. Es sollte deshalb eigentlich davon auszugehen sein, dass diese Sicherung auch beim Passwortgenerator Verwendung findet. Dem ist anscheinend aber nicht so.
Bei dem beschriebenen Seed handelt es sich um die benötigte Information, mit der die für die Zweifaktor-Anmeldung nötige Zahlenkombination berechnet wird. Durch die fehlende Sicherung können Angreifer diese, wie beschrieben, aus dem Datenstrom lesen und dadurch die Zweifaktor-Authentifizierung umgehen – womit auch ein Zugriff auf die geschützten Konnten möglich sein soll. Zwar muss sich für solch einen Angriff auch das jeweilige Passwort im Besitz der Angreifer befinden, aber die Sicherheitsvorkehrung soll ja genau davor schützen, wenn Unbefugte an das jeweilige Passwort gelangt sind.
Darüber hinaus enthalten die dabei oft verwendeten Zweifaktor-QR-Codes in der Regel weitere Informationen wie den Kontonamen und den Namen des Dienstes. Durch die fehlende Verschlüsselung soll Google in der Lage sein, all diese Daten mitlesen zu können. Dadurch weiß das Unternehmen, welche Online-Dienste der jeweilige Anwender nutzt und könnte diese Informationen auch für personalisierte Werbung gebrauchen.
Von Nutzung wird abgeraten
Der Entdecker der Schwachstelle rät derweil von einer Nutzung der Synchronisation ab, zumindest bis Google das Problem behoben hat. Die Experten von Heise Security gehen sogar noch einen Schritt weiter und raten derzeit generell von der Nutzung des Google Authenticators ab, da laut deren Ansicht ein versehentliches Aktivieren der Synchronisation nicht ausgeschlossen werden könne. Bis das Problem seitens Google behoben wurde, soll auf andere Authentifizierungsprogramme gewechselt werden. Wer die neue Funktion bereits genutzt hat, sollte diese wieder deaktivieren und danach die Zwei-Faktor-Seeds aller mit dem Authenticator verwalteten Konten zurücksetzen.
Google beschwichtigt, hat aber Pläne für E2E
Mittlerweile hat sich auch ein Mitarbeiter von Google zu den Funden geäußert. Dieser sieht die Ende-zu-Ende-Verschlüsselung zwar als eine leistungsstarke Funktion mit zusätzlichem Schutz an, deren Nachteil aber darin bestehe, dass Nutzer ohne Wiederherstellung von ihren eigenen Daten ausgesperrt werden können. Zwar soll Google Pläne haben, zukünftig auch den Google Authenticator mit einer E2E-Sicherung auszustatten, aktuell sind die Entwickler aber der Ansicht, dass die derzeitige Umsetzung „für die meisten Nutzer das richtige Gleichgewicht darstellt und erhebliche Vorteile gegenüber der Offline-Nutzung bietet“. Die Option, die App wie gewohnt ohne Synchronisation zu nutzen, soll eine Alternative für diejenigen bleiben, die ihre Backup-Strategie lieber selbst verwalten.