Googleの2FAアプリのアップデートにはエンドツーエンドの暗号化が欠けていることが研究者によって発見された

4月25日、セキュリティ研究者のトミー・ミスク氏とタラル・ハジ・バクリ氏（Twitterでは総称してMysk）は、Google Authenticator 2FAアプリのユーザーに対し、新しい同期機能を有効にしないよう警告しました。Mysk氏は、この機能に「シークレット」またはデバイス間で共有される認証情報がエンドツーエンドで暗号化されていないという欠陥を発見しました。この欠陥により、攻撃者やGoogleがこれらの認証情報を閲覧できる可能性があります。

Google グループのアイデンティティおよびセキュリティ担当プロダクトマネージャー、Christiaan Brand 氏は、認証アプリは意図したとおりに出荷されたとツイートしました。

ジャンプ先:

このアップデートにより、Google 認証システムアプリに何がもたらされるのでしょうか?
セキュリティ上の脆弱性とは何ですか?
Google Authenticatorアプリを安全に使用する方法
Googleはこのセキュリティニュースにどのように対応したか

このアップデートにより、Google 認証システムアプリに何がもたらされるのでしょうか?

AndroidおよびiOSデバイスでは、ユーザーは2FA認証情報を同期してソーシャルメディアなどの様々なサービスにログインできます。この変更は、Googleが2FA認証アプリで複数のデバイス間で認証情報を同期できるようにしたことに端を発しています。Mysk氏は、これは「非常に待望されていた」機能であり、最初にログインしたデバイスにアクセスできない場合でも、アカウントへの再ログインが容易になると指摘しました。しかし、この新しい同期機能には大きな欠陥がありました。

Google の 2FA のセキュリティ上の脆弱性とは何ですか?

つまり、Google Authenticatorでシークレットを同期するために使用されるネットワークトラフィックは、エンドツーエンドで暗号化されていません。2FA QRコード内の各「シークレット」は、一意のコードを生成するために使用されます。Authenticatorアプリがデバイス間でシークレットを同期する際、シークレットはGoogleや攻撃者が閲覧可能な形式で送信されます。ユーザーがパスフレーズで2FAシークレットを保護したり、その他の方法で難読化したりするための設定はありません。（Mysk氏は、Google Chromeが同様の用途でパスフレーズをサポートしていると指摘しました。）

データ侵害またはその他の手段によって誰かがあなたの Google アカウントを入手した場合、アカウントの保護を解除する 2FA の秘密が盗み取られる可能性があります。

エンドツーエンドの暗号化が欠如していることは、Googleが各アカウント所有者がどのようなサービスを利用しているかを透明に把握していることを意味します。この情報は、Googleがパーソナライズ広告のターゲティングに利用できる可能性があります。また、Twitterのビジネスアカウントやプライベートアカウントなど、公開されていないアカウント名が明らかになる可能性もあります。

興味深いことに、Mysk 氏は、このアプリがユーザーの Google アカウントに関連付けられた 2FA 認証情報を公開しないことを発見しました。

参照: Google Workspace は 3 月に Gmail とカレンダーにクライアント側の暗号化を追加しました。

Google Authenticatorアプリを安全に使用する方法

Google AuthenticatorをGoogleアカウントにリンクさせずにオフラインで使用することは、このセキュリティ問題を回避する一つの方法です。同期機能を使用しないのも同様です。ただし、どちらの方法でも、新しいアップデートの多くの機能が失われます。

Mysk氏はTwitterで次のように投稿しました。「結論として、2FAの秘密鍵をデバイス間で同期するのは便利ですが、プライバシーが犠牲になります。幸いなことに、Google Authenticatorではサインインや秘密鍵の同期を行わずにアプリを使用するオプションがまだ提供されています。今のところは、新しい同期機能を使用せずにアプリを使用することをお勧めします。」