Google Authenticator는 마침내 종단 간 암호화를 얻습니다. 보안 연구원이 Authenticator 계정 동기화 업데이트에 회사를 포함하지 않은 것에 대해 회사를 비난한 후 Google 제품 관리자인 Christiaan Brand는 그는 트위터에 답장했다 회사는 “향후 E2EE를 도입할 계획”이 있다고 말했습니다.
“당분간 우리는 기존 제품이 대부분의 사용자에게 적절한 균형을 이루고 오프라인 사용에 비해 상당한 이점을 제공한다고 믿습니다.”라고 Brand는 썼습니다. “그러나 앱을 오프라인으로 사용하는 옵션은 자신의 백업 전략을 관리하는 것을 선호하는 사람들을 위한 대안으로 남을 것입니다.”
이번 주 초 Google Authenticator는 마침내 사용자에게 2단계 인증 코드를 Google 계정에 동기화하는 옵션을 제공하기 시작하여 새 기기에서 훨씬 쉽게 계정에 로그인할 수 있게 되었습니다.
이것은 반가운 변화이지만 해커가 다른 사람의 Google 계정에 침입하여 결과적으로 다른 많은 계정에 대한 액세스 권한을 잠재적으로 얻을 수 있기 때문에 일부 보안 문제도 제기합니다. 기능이 E2EE를 지원하는 경우 Google을 포함한 해커 및 기타 제3자는 이 정보를 볼 수 없습니다.
보안 연구원 Misk는 이러한 위험 중 일부를 강조했습니다. 트위터에 올린 글에서, “데이터 유출이 발생하거나 누군가가 귀하의 Google 계정에 액세스할 경우 귀하의 모든 2단계 인증 비밀이 손상될 것입니다.”라고 명시되어 있습니다. 그들은 Google이 귀하의 계정과 관련된 정보를 사용하여 개인화된 광고를 제공할 수 있으며 E2EE가 지원될 때까지 사용자에게 동기화 기능을 사용하지 말라고 조언했습니다.
이 브랜드는 Google이 “Google Authenticator를 포함하여 제품 전체에서 전송 및 저장 데이터”를 암호화하지만 E2EE는 “사용자가 복구 없이 자신의 데이터를 가질 수 있도록 하는 비용”이 든다고 비판을 일축했습니다. Google이 E2EE를 Authenticator의 새로운 계정 동기화 기능에 실제로 가져올 시기에 대한 일정은 아직 없지만 사용자는 E2EE 없이 기능을 사용하거나 Google Authenticator를 오프라인에서 계속 사용할 수 있습니다.