เมื่อไม่กี่วันที่ผ่านมา กูเกิลได้ประกาศเพิ่มคุณสมบัติซิงก์ข้อมูลข้ามอุปกรณ์ผ่านบัญชีกูเกิลของ Google Authenticator แอปจัดการรหัสผ่าน 2FA ซึ่งหลายคนรอคอยมานาน (หรือไม่รอแล้ว?) อย่างไรก็ตามฟีเจอร์นี้มาพร้อมประเด็นด้านความปลอดภัย

โดยนักวิจัยความปลอดภัยชื่อ Mysk เปิดเผยว่า จากการตรวจสอบทราฟิกในการซิงก์ข้อมูลของ Google Authenticator พบว่าข้อมูลที่รับ-ส่งเข้าเซิร์ฟเวอร์กูเกิลนั้นไม่มีการเข้ารหัสแบบ end-to-end จึงเป็นความเสี่ยงหากมีผู้เข้าถึงข้อมูลดังกล่าว และอาจสร้างรหัส 2FA ขึ้นมาซ้ำได้หากรู้ seed ของโค้ดนั้น

ทั้งนี้ Authy แอปยอดนิยมในการจัดการ 2FA มีคุณสมบัติที่รองรับการเข้ารหัสแบบ end-to-end ซึ่งผู้ใช้งานต้องกำหนดเปิดใช้เพิ่มเติม

Christiaan Brand ผู้จัดการฝ่ายผลิตภัณฑ์ของกูเกิลตอบประเด็นดังกล่าวว่า บริการของกูเกิลมีความปลอดภัย และเข้ารหัสข้อมูลในทุกจุดอยู่แล้ว ส่วนคุณสมบัติเข้ารหัสแบบ end-to-end นั้น ได้เพิ่มเติมแล้วในหลายผลิตภัณฑ์ซึ่ง Google Authenticator ก็จะรองรับด้วยในอนาคต

ที่มา: Bleeping Computer

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.TL;DR: Don’t turn it on.The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023