خطرات جدید Cloud Backup برای Authenticator 2FA Google

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

به‌روزرسانی‌های سیستم جدید احراز هویت 2FA گوگل ممکن است کاربران را در برابر هک‌های تک نقطه‌ای و کلاهبرداری‌های «تعویض سیم‌کارت» آسیب‌پذیر کند.

گوگل به‌روزرسانی‌ای را برای برنامه احراز هویت محبوب خود منتشر کرده است که «کدهای یک‌بار مصرف» را در فضای ذخیره‌سازی ابری ذخیره می‌کند. این به کاربرانی که دستگاه مجهز به احراز هویت خود را گم می کنند، اجازه می دهد تا دسترسی به 2FA را حفظ کنند.

در یک پست وبلاگی در ۲۴ آوریل که این به‌روزرسانی را اعلام کرد، گوگل گفت که کدهای یکبار مصرف در حساب‌های Google کاربران ذخیره می‌شوند و به کاربران «محافظت بهتری در برابر قفل شدن» و بهبود «راحتی و امنیت» می‌دهند.

در پست Reddit در ۲۶ آوریل در انجمن r/Cryptocurrency، u/pojut در Reddit نوشت که اگرچه این به‌روزرسانی به افرادی که دستگاه‌های خود را با برنامه‌های احراز هویت گم می‌کنند کمک می‌کند، اما آنها را در برابر هکرها آسیب‌پذیرتر می‌کند. من اینجا هستم.

با محافظت از رمزهای عبور در فضای ذخیره‌سازی ابری مرتبط با حساب Google کاربر، هر کسی که به رمز عبور Google کاربر دسترسی داشته باشد، به برنامه مرتبط با احراز هویت دسترسی کامل خواهد داشت.

کاربری استفاده از یک تلفن قدیمی را پیشنهاد کرد که فقط برای ذخیره یک برنامه احراز هویت استفاده می شود تا از مشکلات SMS 2FA جلوگیری شود.

همچنین، در صورت امکان، اکیداً توصیه می‌کنم که دستگاه دیگری (شاید یک تلفن قدیمی یا یک تبلت قدیمی) داشته باشید که تنها هدف آن در زندگی استفاده از آن برای برنامه احراز هویت انتخابی شما است. لطفاً از آن برای هیچ هدف دیگری استفاده نکنید. ”

به همین ترتیب، توسعه دهندگان امنیت سایبری میسک طول کشید توییتر در مورد پیچیدگی های اضافی که با راه حل مبتنی بر ذخیره سازی ابری Google برای 2FA همراه است، هشدار داده می شود.

گوگل برنامه 2FA Authenticator خود را با یک ویژگی مورد انتظار به روز رسانی کرده است: توانایی همگام سازی اسرار بین دستگاه ها.

TL;DR: آن را روشن نکنید.

به‌روزرسانی جدید به کاربران امکان می‌دهد با حساب Google خود وارد شوند و اسرار 2FA را در دستگاه‌های iOS و Android همگام‌سازی کنند. … pic.twitter.com/a8hhelupZR

— Misk (@mysk_co) ۲۶ آوریل ۲۰۲۳

این می‌تواند برای کاربرانی که از Google Authenticator برای 2FA برای ورود به حساب‌های صرافی رمزنگاری‌شان و سایر سرویس‌های مرتبط مالی استفاده می‌کنند، نگرانی مهمی باشد.

رایج‌ترین هک 2FA نوعی کلاهبرداری هویت است که به نام «تعویض سیم‌کارت» شناخته می‌شود، که در آن کلاهبرداران ارائه‌دهندگان مخابراتی را فریب می‌دهند تا شماره تلفن‌ها را به سیم‌کارت خود مرتبط کنند و به آنها کنترل بر شماره تلفن خود را بدهند.

نمونه اخیر آن را می توان در شکایتی که علیه صرافی ارزهای دیجیتال مستقر در ایالات متحده Coinbase ارائه شده است مشاهده کرد. مشتریان ادعا کردند که پس از قربانی شدن در چنین حملاتی “۹۰٪ پس انداز خود” را از دست داده اند.

قابل ذکر است که خود Coinbase استفاده از یک برنامه احراز هویت را برای 2FA به جای SMS توصیه می کند و SMS 2FA را به عنوان “کمترین امن ترین” شکل احراز هویت توصیف می کند.

من معتقدم رمز عبور او به خطر افتاده است زیرا در سایت دیگری استفاده شده است. یکی از آنها به خطر افتاده است. Coinbase همچنین برنامه های احراز هویت را برای 2FA با برچسب گذاری آنها تشویق می کند. "ایمنی" و بصورت اس ام اس "نسبتا امن".

– دیو فرگوسن (@_sc0rn) ۷ مارس ۲۰۲۳

مربوط: OFAC تحریم هایی را علیه معامله گران فرابورس که ارزهای رمزنگاری شده را برای گروه لازاروس کره شمالی تبدیل کرده اند اعمال می کند.

در Reddit، کاربران در مورد این شکایت بحث کردند و حتی پیشنهاد ممنوعیت SMS 2FA را دادند. همانطور که یکی از کاربران Reddit اشاره کرد، در حال حاضر تنها گزینه احراز هویت موجود برای بسیاری از خدمات مرتبط با فین‌تک و ارزهای دیجیتال است.

“متاسفانه، بسیاری از سرویس‌هایی که من استفاده می‌کنم هنوز Authenticator 2FA را ارائه نمی‌دهند. با این حال، رویکرد پیامک ناامن است و من متقاعد شده‌ام که باید ممنوع شود. من دارم.”

شرکت امنیت بلاک چین CertiK در مورد خطرات استفاده از SMS 2FA هشدار داده است و کارشناس امنیتی آن جسی لکلر به کوین تلگراف گفت:

مجله: از هر ۱۰ فروش NFT، ۴ مورد جعلی است: یاد بگیرید که چگونه علائم تجارت شستشو را تشخیص دهید

نویسنده: Tom Mitchelhill