Mit 2FA auf Nummer sicher gehen, oder?
Image of a broken lock with a white background
Bildquelle: michaklootwijk, Lizenz

2FA-Secrets geleakt: Google Authenticator ist nicht ganz dicht

Der Google Authenticator für 2FA-Sicherheit hat Probleme den zweiten Faktor geheim zu halten. Dieser überträgt die Daten unverschlüsselt.

Google ist ein riesiges Unternehmen und quasi omnipräsent. Ähnlich verbreitet ist auch Googles Zwei-Faktor App „Google Authenticator“, die kürzlich ein lang ersehntes Feature bekommen hat: Account-Synchronisierung. Diese könnte aber unerwartet eure Secrets zu mehr Geräten sichern, als ihr euch wünscht.

2FA: Auch Genies in der Firma helfen nicht gegen Schusselfehler

Google beschäftigt Hunderte Genies und Legenden der IT-Szene wie Rob Pike, Larry Page, Lars Rasmussen und Kathy Pham befinden oder befanden sich auf der Gehaltsliste. Aber auch eine der höchsten Genie-Dichten schützt nicht vor Anfängerfehlern beim Übertragen von 2FA Secrets.

Die iOS-Entwickler und Sicherheitsforscher von Mysk (unter anderem bekannt von der großen iOS VPN Lücke aus dem Vorjahr) fanden jetzt nämlich heraus, dass Google beim Backup eurer Informationen keine End-zu-End-Verschlüsselung einsetzt und die Daten einfach im Klartext übermittelt.

Was es noch schlimmer macht, ist, dass die URLs, die die Secrets enthalten, meist auch den Namen der Seite, manchmal sogar den des Accounts beinhalten.

„Es ist ja nur der zweite Faktor“

Man ist jetzt möglicherweise geneigt, dieses Problem mit dem 2FA Authenticator als unwichtig abzutun. Aber jemand, der euer Netzwerk überwacht (zum Beispiel über einen dauerhaften MITM-Angriff, wie er in großen Unternehmen oft zum Einsatz kommt), kann damit einen eurer Faktoren abgreifen. Wenn ihr jetzt noch ein Passwort habt, das sich über Social Engineering herausfinden lässt, habt ihr dadurch schnell ein ernst zu nehmendes Problem.

Was tun?

Lasst das Passwort-Sync Feature von Google aus und wechselt am Besten zu einem Open-Source Authenticator wie:

Hattet ihr den Passwort-Sync von Google aktiv, so wäre noch wichtig anzumerken, dass ihr den Authenticator von dem Account entfernen und zu einem Sicheren umziehen solltet.

2FA bleibt ein wichtiges Thema

Egal ob Amazon, Tarnkappe.info oder Google selbst; 2FA ist und bleibt ein wichtiger Bestandteil der Online-Landschaft. Mit den wertvollsten Informationen seiner Nutzer sollte man nicht so umgehen. Schon gar nicht, wenn die Nutzer sich auf die Sicherheit der Anwendung verlassen.

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).