พบ Google Authenticator ใหม่ ซิงก์ข้อมูลไม่เข้ารหัส ด้านกูเกิลแจงเตรียมนำ E2EE มาใช้ในอนาคต

ก่อนหน้านี้ Google Authenticator ได้เพิ่มฟีเจอร์สำรองโทเคนเก็บรหัสที่ใช้ยืนยันตัวตนแบบ 2 ขั้น (2FA) ไว้บนคลาวด์ แต่ผู้เชี่ยวชาญเตือนผู้ใช้งานว่าอย่าเพิ่งเปิดใช้งานฟีเจอร์นี้ เพราะอาจก่อให้เกิดความเสี่ยงต่อความปลอดภัย เพราะข้อมูลที่ซิงก์ขึ้นคลาวด์นั้นไม่ได้มีการเข้ารหัสไว้ ล่าสุด Google บอกว่าจะนำระบบการเข้ารหัสแบบ 2 ฝั่ง (end-to-end encryption – E2EE) มาใช้ในอนาคต (แต่ไม่รู้ว่าเมื่อไหร่

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

ผู้เชี่ยวชาญด้านไซเบอร์จาก Mysk พบว่าข้อมูลโทเคน 2FA ที่อัปโหลดขึ้นไปในคลาวด์ของ Google ไม่ได้รับการคุ้มครองด้วย E2EE โดยที่ไม่มีตัวเลือกปกปิดข้อมูลด้วย จึงเตือนว่า (พนักงาน) Google จะสามารถเห็นความลับของผู้ใช้งานได้ หรือมีความเสี่ยงเพิ่มที่จะถูกดักข้อมูลไประหว่างทาง พร้อมแสดงตัวอย่างให้ดูบนทวีตจากบัญชีทางการ

สำหรับ E2EE เป็นระบบการเข้ารหัสหรือปกปิดข้อมูลตั้งแต่อุปกรณ์ของต้นทาง (ผู้ส่งข้อมูล) ก่อนจะส่งข้อมูลไปยังปลายทาง (ผู้รับข้อมูล)

ผู้ที่จะเห็นข้อมูลจะมีเฉพาะเจ้าของข้อมูลเท่านั้น แม้แต่ผู้ดูแลระบบ หรือเจ้าของโครงสร้างพื้นฐานและเครือข่ายจะไม่มีสิทธิเห็นข้อมูลที่ส่งระหว่างกัน

ส่วน 2FA คือระบบการยืนยันตัวตนแบบ 2 ชั้น ใช้สำหรับการล็อกอินเข้าสู่บัญชีดิจิทัลที่จะเพิ่มขั้นตอนการยืนยันตัวตนมาอีก 1 ชั้น โดยอาจเป็นในรูปแบบของรหัสที่ส่งใน SMS คลิปเสียงโทรศัพท์ หรืออีเมล

ซึ่ง Google Authenticator เป็นซอฟต์แวร์ที่เข้ามาช่วยอำนวยความสะดวกในการสร้างรหัสที่ใช้ใน 2FA เพิ่มเติมอีกช่องทางหนึ่ง

การที่ข้อมูลที่ซิงก์ขึ้นไปบนเซิร์ฟเวอร์ของ Google ผ่าน Google Authenticator ไม่มีระบบ E2EE มาป้องกัน จะทำให้ไม่ว่าใครก็ตามที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Google ก็จะสามารถเข้าไปดูข้อมูลได้

นั่นแปลว่าหากมีผู้ไม่หวังดี (แฮกเกอร์หรือแม้แต่พนักงานของ Google เอง!) เข้าไปดูข้อมูลบนคลาวด์ของ Google ก็จะสามารถนำข้อมูลรหัสผ่านทั้งหมดของผู้ใช้งาน Google ไปใช้ทะลวง 2FA ได้โดยง่าย

คำตอบของ Google

Google ให้คำมั่นว่าจะเพิ่ม E2EE เข้าไปในเวอร์ชันในอนาคตของ Google Authenticator โดยชี้ว่าที่เดิมไม่ได้ใส่ไว้เพราะกลัวว่าอาจไปเพิ่มความยุ่งยากให้กับผู้ใช้งาน

คริสเตียน แบรนด์ (Christiaan Brand) ผู้จัดการผลิตภัณฑ์ของ Google Group ระบุกับเว็บไซต์ BleepingComputer ว่า E2EE อาจทำให้ผู้ใช้งานที่จำรหัสผ่านไม่ได้ถูกล็อกจากข้อมูลของตัวเอง แต่ยืนยันว่าบริษัทคำนึงถึงความปลอดภัยของข้อมูลที่ต้องมาพร้อมกับความสะดวกของการใช้งาน

ที่มา bleepingcomputer

พิสูจน์อักษร : สุชยา เกษจำรัส