O Google lançou uma atualização para seu popular aplicativo autenticador que armazena um “código único” no armazenamento em nuvem, permitindo que os usuários que perderam o dispositivo com o autenticador mantenham o acesso à autenticação de dois fatores (2FA).
Em uma postagem no blog de 24 de abril anunciando a atualização, o Google disse que os códigos únicos serão armazenados na Conta do Google do usuário, alegando que os usuários estariam “mais protegidos contra bloqueio” e aumentariam a “conveniência e segurança”.
Em uma postagem do Reddit de 26 de abril no fórum r/Cryptocurrency, o Redditor u/pojut escreveu que, embora a atualização ajude aqueles que perdem o dispositivo com seu aplicativo autenticador, também os torna mais vulneráveis a hackers.
Ao protegê-lo no armazenamento em nuvem associado à conta do Google do usuário, significa que qualquer pessoa que possa obter acesso à senha do Google do usuário obterá subsequentemente acesso total aos seus aplicativos vinculados ao autenticador.
O usuário sugeriu que uma maneira possível de contornar o problema do SMS 2FA é usar um telefone antigo usado exclusivamente para hospedar seu aplicativo autenticador.
“Eu também sugiro fortemente que, se possível, você tenha um dispositivo separado (talvez um telefone antigo ou um tablet antigo) cujo único propósito na vida seja ser usado para o aplicativo de autenticação de sua escolha. Não guarde mais nada nele e não o use para mais nada.”
Da mesma forma, os desenvolvedores de segurança cibernética Mysk foram ao Twitter para alertar sobre complicações adicionais que acompanham a solução baseada em armazenamento em nuvem do Google para 2FA.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Isso pode ser uma preocupação significativa para os usuários que usam o Google Authenticator para 2FA para fazer login em suas contas de troca de criptografia e outros serviços relacionados a finanças.
Outros problemas de segurança 2FA
O hack 2FA mais comum é um tipo de fraude de identidade conhecido como “troca de SIM”, que é onde os golpistas obtêm o controle de um número de telefone enganando o provedor de telecomunicações para vincular o número ao seu próprio cartão SIM.
Um exemplo recente disso pode ser visto em uma ação movida contra a exchange de criptomoedas Coinbase, com sede nos Estados Unidos, onde um cliente alegou ter perdido “90% das economias de sua vida” após ser vítima de tal ataque. Notavelmente, a própria Coinbase incentiva o uso de aplicativos autenticadores para 2FA em oposição ao SMS, descrevendo o SMS 2FA como a forma de autenticação “menos segura”.
I'm guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it "secure" and SMS as "moderately secure".
— Dave Ferguson (@_sc0rn) March 7, 2023
No Reddit, os usuários discutiram o processo e até propuseram que o SMS 2FA fosse banido, embora um usuário do Reddit tenha notado que atualmente é a única opção de autenticação disponível para vários serviços fintech e relacionados a criptomoedas:
“Infelizmente, muitos serviços que uso ainda não oferecem o Authenticator 2FA. Mas eu definitivamente acho que a abordagem SMS provou ser insegura e deveria ser banida.”
A empresa de segurança Blockchain CertiK alertou sobre os perigos do uso do SMS 2FA, com seu especialista em segurança Jesse Leclere dizendo que:
“o SMS 2FA é melhor do que nada, mas é a forma mais vulnerável de 2FA atualmente em uso.”
Créditos: Cointelegraph e Canva.
