米GoogleのIDおよびセキュリティ担当プロダクトマネジャーのクリスティアーン・ブラッド氏は4月27日、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)に将来オプションでE2EE(エンドツーエンド暗号化)する機能を追加するとツイートした。
同社は24日、このアプリのアップデートで、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにした。
このアップデートは概ね歓迎されているが、Myskと名乗るセキュリティ研究者が26日、コードを同期する際のネットワークトラフィックがE2EEになっていないとツイートで指摘し、ユーザーにこのアプリを使わないよう警告した。
E2EEは、データが送信されて別の端末に保存される前に、ユーザーだけが知っているパスワードを使って端末上でデータを暗号化する仕組みだ。
Google Authenticatorのトラフィックは暗号化されているが、E2EEではないため、Googleはデータを見ることができるとMyskは主張した。
ブラッド氏は、「E2EEは追加の保護を提供する強力な機能ではあるが、ユーザーが復号できずに自分のデータをロックアウトする可能性がある」と、E2EE機能を追加していなかった理由を説明し、「ユーザーにオプションを提供するため、今後Google AuthenticatorにもE2EEを提供する予定だ」と語った。
Google Authenticatorは、サービスやアプリへの2要素認証(2FA)によるログインに使うアプリだ。ユーザーがE2EEのパスワードを忘れてロックアウトされてしまうと、このアプリに登録していたすべてのサービスやアプリにログインできなくなってしまう危険がある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR