Nguy hiểm với sao lưu đám mây mới của Google cho trình xác thực 2FA

Bản cập nhật trình xác thực 2FA mới của Google có thể khiến người dùng dễ bị tấn công bởi các vụ hack một điểm và lừa đảo hoán đổi SIM.

Google đã phát hành bản cập nhật cho ứng dụng trình xác thực phổ biến của mình. Ứng dụng này lưu trữ mã một lần trong bộ nhớ đám mây, cho phép người dùng bị mất thiết bị có trình xác thực trên đó vẫn có quyền truy cập vào tính năng xác thực hai yếu tố (2FA).

Trong một bài đăng trên blog vào ngày 24 tháng 4 thông báo về bản cập nhật, Google cho biết các mã dùng một lần sẽ được lưu trữ trong Tài khoản Google của người dùng, đồng thời tuyên bố rằng người dùng sẽ được bảo vệ tốt hơn khỏi bị khóa và điều này sẽ tăng sự thuận tiện và bảo mật.

Trong một bài đăng trên Reddit vào ngày 26 tháng 4 trên diễn đàn r/Cryptocurrency, Redditor u/pojut đã viết rằng bất chấp việc bản cập nhật hỗ trợ những người bị mất thiết bị có ứng dụng xác thực trên đó, nhưng nó cũng khiến họ dễ bị tin tặc tấn công hơn.

Bằng cách bảo mật nó trong bộ nhớ đám mây được liên kết với tài khoản Google của người dùng, điều đó có nghĩa là bất kỳ ai có thể truy cập vào mật khẩu Google của người dùng thì sau đó sẽ có toàn quyền truy cập vào các ứng dụng được liên kết với trình xác thực của họ.

Người dùng đã gợi ý rằng một cách tiềm năng để giải quyết vấn đề SMS 2FA là sử dụng một chiếc điện thoại cũ chuyên dùng để chứa ứng dụng xác thực của bạn.

Tôi cũng thực sự khuyên rằng, nếu có thể, bạn nên có một thiết bị riêng (có thể là điện thoại cũ hoặc máy tính bảng cũ) với mục đích duy nhất trong đời là được sử dụng cho ứng dụng xác thực mà bạn chọn. Không giữ gì khác trên đó và không sử dụng nó cho việc gì khác.

Tương tự như vậy, các nhà phát triển an ninh mạng Mysk đã lên Twitter để cảnh báo về các vấn đề phức tạp khác đi kèm với giải pháp dựa trên bộ nhớ đám mây của Google đối với 2FA.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk (@mysk_co) April 26, 2023

Đây có thể là một mối lo ngại đáng kể đối với những người dùng sử dụng Google Authenticator cho 2FA để đăng nhập vào tài khoản nền tảng giao dịch tiền điện tử của họ và các dịch vụ liên quan đến tài chính khác.

Vụ tấn công 2FA phổ biến nhất là một loại gian lận danh tính được gọi là hoán đổi SIM, trong đó những kẻ lừa đảo giành quyền kiểm soát số điện thoại bằng cách lừa nhà cung cấp dịch vụ viễn thông liên kết số này với thẻ SIM của chính họ.

Có thể thấy một ví dụ gần đây về điều này trong vụ kiện chống lại nền tảng giao dịch tiền điện tử có trụ sở tại Hoa Kỳ Coinbase, nơi một khách hàng tuyên bố đã mất 90% số tiền tiết kiệm cả đời sau khi trở thành nạn nhân của một cuộc tấn công như vậy.

Đáng chú ý, chính Coinbase khuyến khích sử dụng các ứng dụng xác thực cho 2FA thay vì SMS, mô tả SMS 2FA là hình thức xác thực kém an toàn nhất.

I'm guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it "secure" and SMS as "moderately secure".

— Dave Ferguson (@_sc0rn) March 7, 2023

Trên Reddit, người dùng đã thảo luận về vụ kiện và thậm chí còn đề xuất cấm SMS 2FA, bất chấp việc một người dùng Reddit lưu ý rằng nó hiện là tùy chọn xác thực duy nhất có sẵn cho một số dịch vụ liên quan đến fintech và tiền điện tử:

Thật không may, nhiều dịch vụ tôi sử dụng chưa cung cấp Authenticator 2FA. Nhưng tôi chắc chắn nghĩ rằng cách tiếp cận SMS đã được chứng minh là không an toàn và nên bị cấm.

Công ty bảo mật blockchain CertiK đã cảnh báo về sự nguy hiểm của việc sử dụng SMS 2FA, với chuyên gia bảo mật Jesse Leclere nói với Cointelegraph rằng SMS 2FA có còn hơn không, nhưng đây là hình thức 2FA dễ bị tấn công nhất hiện đang được sử dụng.

Tạp chí: Cứ 10 giao dịch bán NFT thì có 4 là giả: Học cách phát hiện các dấu hiệu của giao dịch wash trade

Theo CoinTelegraph