Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext

27.4.2023 9:47 Uhr

Bild: Google

Google hat den Authenticator, einen Generator für Einmalpasswörter, erst vor kurzem mit einer von vielen Nutzern gewünschten Funktion zur Synchronisation ausgestattet. Nun will ein Entwickler aber herausgefunden haben, dass die jeweiligen Daten nicht mit Ende-zu-Ende-Verschlüsselung übertragen werden.

Bequeme und übergreifende Nutzung

Mit der neuen Funktion soll sich der Google Authenticator unter anderem auf mehreren Geräten gleichzeitig nutzen lassen. Dabei können die geteilten Daten auch als Backup dienen – wenn ein Mobilgerät ersetzt werden soll, kann die App darüber auf einem neuen Smartphone oder Tablet bequem eingerichtet werden.

Nicht ausreichend gesichert

Die dafür ausgetauschten Daten werden dem Anschein nach zwar mit einer TLS-Transportsicherung versehen, sind aber nicht Ende-zu-Ende-verschlüsselt – wie jetzt ein iOS-App-Entwickler „Mysk“ herausgefunden haben will. Somit werden die Daten im Klartext an Googles Server sowie die jeweiligen Geräte gesendet. Google könnte wie auch eventuelle Angreifer die übertragenen Informationen mitlesen.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

Problem bestätigt

Einem Bericht von Heise zufolge konnte das Problem bei der zu dem Zeitpunkt aktuellen Version des Google Authenticators unter Android 13 nachgestellt werden. Bei der Synchronisierung wurde der sogenannte Seed an die Server von Google übertragen, mittels einer Man-in-the-Middle-Aktion konnte dieses Base32-kodiert im Datenstrom aufgespürt werden. In den Google-Einstellungen war dem Bericht zufolge zudem die On-device-Encryption aktiviert, wodurch Googles Passwort-Manager Passwörter nur E2E-gesichert speichert. Es sollte deshalb eigentlich davon auszugehen sein, dass diese Sicherung auch beim Passwortgenerator Verwendung findet. Dem ist anscheinend aber nicht so.

Bei dem beschriebenen Seed handelt es sich um die benötigte Information, mit der die für die Zweifaktor-Anmeldung nötige Zahlenkombination berechnet wird. Durch die fehlende Sicherung können Angreifer diese, wie beschrieben, aus dem Datenstrom lesen und dadurch die Zweifaktor-Authentifizierung umgehen – womit auch ein Zugriff auf die geschützten Konnten möglich sein soll. Zwar muss sich für solch einen Angriff auch das jeweilige Passwort im Besitz der Angreifer befinden, aber die Sicherheitsvorkehrung soll ja genau davor schützen, wenn Unbefugte an das jeweilige Passwort gelangt sind.

Darüber hinaus enthalten die dabei oft verwendeten Zweifaktor-QR-Codes in der Regel weitere Informationen wie den Kontonamen und den Namen des Dienstes. Durch die fehlende Verschlüsselung soll Google in der Lage sein, all diese Daten mitlesen zu können. Dadurch weiß das Unternehmen, welche Online-Dienste der jeweilige Anwender nutzt und könnte diese Informationen auch für personalisierte Werbung gebrauchen.

Von Nutzung wird abgeraten

Der Entdecker der Schwachstelle rät derweil von einer Nutzung der Synchronisation ab, zumindest bis Google das Problem behoben hat. Die Experten von Heise Security gehen sogar noch einen Schritt weiter und raten derzeit generell von der Nutzung des Google Authenticators ab, da laut deren Ansicht ein versehentliches Aktivieren der Synchronisation nicht ausgeschlossen werden könne. Bis das Problem seitens Google behoben wurde, soll auf andere Authentifizierungsprogramme gewechselt werden. Wer die neue Funktion bereits genutzt hat, sollte diese wieder deaktivieren und danach die Zwei-Faktor-Seeds aller mit dem Authenticator verwalteten Konten zurücksetzen.

Google beschwichtigt, hat aber Pläne für E2E

Mittlerweile hat sich auch ein Mitarbeiter von Google zu den Funden geäußert. Dieser sieht die Ende-zu-Ende-Verschlüsselung zwar als eine leistungsstarke Funktion mit zusätzlichem Schutz an, deren Nachteil aber darin bestehe, dass Nutzer ohne Wiederherstellung von ihren eigenen Daten ausgesperrt werden können. Zwar soll Google Pläne haben, zukünftig auch den Google Authenticator mit einer E2E-Sicherung auszustatten, aktuell sind die Entwickler aber der Ansicht, dass die derzeitige Umsetzung „für die meisten Nutzer das richtige Gleichgewicht darstellt und erhebliche Vorteile gegenüber der Offline-Nutzung bietet“. Die Option, die App wie gewohnt ohne Synchronisation zu nutzen, soll eine Alternative für diejenigen bleiben, die ihre Backup-Strategie lieber selbst verwalten.

(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023