[English]Es ist ein Lehrstück, wie es nicht wirklich laufen sollte. Die Google Authenticator-App ermöglicht eine Zweifaktor-Authentifizierung bei Online-Konten. Um bei einem Verlust des Handys mit der App ein Ersatzgerät verwenden zu können, hat Google in seiner Authenticator-App die Möglichkeit implementiert, die erforderlichen Passcodes im Google-Konto zu sichern. Was nach Begeisterung klingt, hat aktuell leider einen Pferdefuß, denn die Übertragung des betreffenden Passcodes in das Google-Konto erfolgt ohne Ende-zu-Ende-Verschlüsselung. Nach Kritik von Sicherheitsexperten will Google die Ende-zu-Ende-Verschlüsselung immerhin nachrüsten.
Anzeige
Google Authenticator: Backup der Passcodes im Google-Konto
Google Authenticator wurde im Jahr 2010 als kostenlose und einfache Möglichkeit für Websites, die Zwei-Faktor-Authentifizierung (2FA) erfordern, veröffentlicht. Die Google Authenticator-App steht sowohl für Android als auch für iOS zur Verfügung. Durch die App soll die Sicherheit der Nutzer bei der Anmeldung an Online-Konten erhöht werden.
Problem bei diesem Ansatz ist aber, dass der Umgang mit dem Google Authenticator recht komplex werden kann, wenn das Gerät, auf der die App installiert ist, gestohlen oder verloren wurde oder schlicht kaputt geht. Dann ist der auf dem Gerät vom Google Authenticator gespeicherte einmalige Code (Passcodes) verloren, und die Nutzer können sich nicht mehr bei den betreffenden Diensten, mit Zwei-Faktor-Authentifizierung (2FA) im Authenticator eingerichtet sind. Es gibt zwar beim Einrichten Sicherheitscodes, mit denen man das Ganze entsperren kann – aber oft sind diese verloren oder verlegt worden.
Auf Grund vielfachen Nutzerrückmeldungen hat Google dann zum 24. April 2023 im Beitrag Google Authenticator now supports Google Account synchronization eine Neuerung angekündigt. Nach einem Update der Google Authenticator-App haben die Nutzer nun optional die Möglichkeit, den auf dem Gerät vom Google Authenticator gespeicherten einmalige Code (Passcode) mit ihrem Google-Konto zu sichern. Geht das Gerät mit der installierten Google Authenticator-App verloren, lässt sich der benötigte Passcode mit einem neuen Gerät über das zugeordnete Google-Konto synchronisieren.
Backup leider unverschlüsselt
Leider sind die Google-Entwickler etwas zu kurz gesprungen, denn die Übertragung des Passcodes durch die Authenticator-App in das Google-Konto des Benutzers erfolgt unverschlüsselt und ist damit potentiell unsicher. Darauf weist Mysk (iOS-Entwickler und Sicherheitsforscher) in einem Tweet hin. Die relevante Passage lautet:
Anzeige
We analyzed the network traffic when the app syncs the secrets, and it turns out the traffic is not end-to-end encrypted. As shown in the screenshots, this means that Google can see the secrets, likely even while they're stored on their servers. There is no option to add a passphrase to protect the secrets, to make them accessible only by the user.
Bei der Analyse des Netzwerkverkehr während des Backups des Passkeys fiel auf, dass diese Daten nicht Ende-zu-Ende verschlüsselt sind. Die Übertragung fand lediglich über TLS statt, so dass ein Man-in-the-Middle-Angriff die Daten nicht lesen kann. Die Sicherheitsforscher haben im Tweet sowie in diesem Beitrag Screenshots veröffentlicht, die zeigen, was beim Backup übertragen wird und dann im Klartext auf dem Google-Konto landet. Diese Übertragung enthält wohl nicht den Seed (oder den Geheimcode), der zur Generierung der Einmalcodes verwendet wird.
Unklar ist aber, ob dieser Seed (das Geheimnis) mit im Klartext im Google Konto gesichert wird. In Artikeln wie hier heißt es nun, dass auch die Geheimnisse der Authenticator-App von Google oder Dritten eingesehen werden könnten – was es ermöglichen würde, die gleichen Passkeys zu generieren. Meine Lesart des Texts von Mysk ist aber, dass genau diese "Geheimnisse" nicht in den übermittelten Nachrichten gefunden wurden.
Bei heise hat man das Ganze in der Redaktion analysiert und schreibt in diesem Artikel, dass man unter Android 13 das Problem nachstellen konnten. Das TOTP-Geheimnis sei beim Synchronisieren über das Netz an Google übermittelt worden. Als Man-in-the-Middle konnten die heise-Redakteure das Ganze als Base32-kodiert im Datenstrom aufspüren.
Die unverschlüsselte Übertragung ist aus weiteren Gründen kritisch. Die übertragenen 2FA-QR-Codes enthalten in der Regel weitere Informationen wie den Kontonamen und den Namen des Dienstes (z. B. Twitter, Amazon usw.), der für die Authentifizierung erfordert. Google kann alle diese Daten sehen, und weiß, welche Online-Dienste die Leute verwenden. Gleiches gilt für Dritte, die Zugriff auf das Google-Konto erhalten. Das könnte Google möglicherweise für personalisierte Werbung dienen, schreiben die Sicherheitsforscher.
Die Sicherheitsforscher ziehen das Fazit: Die geräteübergreifende Synchronisierung von 2FA-Geheimnissen ist zwar praktisch, geht aber auf Kosten der Privatsphäre. Glücklicherweise bietet Google Authenticator weiterhin die Möglichkeit, die App ohne Anmeldung oder Synchronisierung von Geheimnissen zu verwenden. Die Sicherheitsforscher empfehlen, die App vorerst ohne die neue Synchronisierungsfunktion zu verwenden.
Google will Verschlüsselung nachrüsten
Nach dem Bericht von Mysk wurde Google aufgeschreckt. Ich bin auf Twitter auf die Information gestoßen, dass Google nun eine Ende-zu-Ende-Verschlüsselung (E2E) für den Authenticator zur Nachrüstung plant.
Gegenüber heise hat sich Google über eine Sprecherin folgendermaßen geäußert: "Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine leistungsstarke Funktion, die zusätzlichen Schutz bietet. Um sicherzustellen, dass wir unseren Nutzer:innen alle Optionen anbieten, haben wir damit begonnen, E2EE optional in einigen unserer Produkte einzuführen, und wir planen, E2EE für Google Authenticator in Zukunft anzubieten." Die Übertragung sei eh mittels TLS abgesichert und somit während der Übertragung verschlüsselt. Aber die Speicherung erfolgt noch im Klartext. Wann die Ende-zu-Ende-Verschlüsselung in der App kommt, steht aber noch nicht fest. Vorsichtige Menschen verzichten also auch weiterhin auf das Backup der einmaligen Codes im Google-Konto, bis dieser Sachverhalt geklärt und das Problem beseitigt ist.
Danke an den anonymen Blog-Leser für den Hinweis – ich hatte das Thema aber bereits anderweitig mitbekommen – es fehlte die Zeit, das aufzubereiten.
Anzeige
Wer wären solche Dritte? Und warum erhalten sie Zugriff?
Vorsichtige Menschen verzichten generell auf das Speichern jeglicher Inhalte im Google-Konto bzw. in jeder Cloud. Wer sowas nutzt, ist nicht vorsichtig sondern gutgläubig naiv.
@Dolly
"Vorsichtige Menschen verzichten generell auf das Speichern jeglicher Inhalte … in jeder Cloud."
Ja klar, geht, wenn man als Eremit in einer Tonne lebt und nix mit Arbeit am Hut hat.
Vorsichtige Menschen wollen keinen Zugriff von Dritten auf ihre Daten.
Die Frage ist, wie hoch die Angriffsfläche ist.
Der Traffic selbst ist TLS Verschlüsselt, aber nicht End-to-End. Das Risiko beschränkt sich doch dann auf….
A) Google selbst wird gehackt
B) Der Google Account wird gehackt, sofern man 2FA nutzt sollte das schon deutlich erschwert werden
Oder habe ich noch etwas nicht bedacht? Abgesehen von dem Fall, dass man Google selbst nicht traut.
2FA mit Code geht, meines Wissens nach, bei Google Accounts nicht mehr.
Nur noch Push.
Und wie deaktiviert man das Backup im Google Authenticator?
Ich habe keine Option im GA gefunden, mit der man die Backup-Funktion steuern kann.
Oben rechts auf dein Profil und dort "Ohne Konto verwenden"
Google muß als amerikanische Firma nicht gehackt werden. Der amerikanische Staat kann sich nach seinen Gesetzen legal und geheim Zugriff auf diese Daten verschaffen und damit andere Konten öffnen.
Aber ich bin doch nicht beim Geheimdienste und kenne auch keine Geheimnisse, was soll der amerikanische Staat mit meinem Daten wollen?
Z.B. wollen die andere Quellen verifizieren und du hängst irgendwie mit diesen Quellen zusammen.
Erinnere an den Hausbesuch den jemand bekam, weil er eine Pizza bestellte, aber in dem Pizza Laden ein vermeintlicher Terrorist war.
Solche Sachen dürfen nicht im Klartext abgelegt werden, wenn man nicht sicher ist wer da alles darauf zu zugreift.
Last famous words:
"Aber ich habe doch nichts zu verbergen"
"Freiheit ist wie die Luft die Du atmest.
Erst wenn man sie Dir nimmt, weißt Du sie zuschätzen (frei nach E.Snowden)"
Wieso sollte sich ein Nachrichtendienst für dich interessieren und Ressourcen aufwenden, dich näher in Augenschein zu nehmen?
"Erinnere an den Hausbesuch den jemand bekam, weil er eine Pizza bestellte, aber in dem Pizza Laden ein vermeintlicher Terrorist war."
Quelle? Zumal das wohl eher die Polizei betraf und nicht "Geheimdienste", sofern das überhaupt stattgefunden hat.
Das ist wieder so ein Computerding, wo man zwischen zwei Stühlen sitzt. So wie das Ganze ursprünglich gedacht war, war es sicher. Sogenannte "Seed" ist und bleibt verborgen, Schlüssel geheim. Bei Verlust des Gerätes oder Crash der Authenticator-App war man im Ar…., außer man hatte ursprünglich gleich 2 Apps mit derselben Seed eingerichtet. Die etwas entschärftere Variante ging auch noch. Der Seed wurde im Rahmen der Erstellung einmalig kurz auf dem Bildschirm ausgegeben, so dass man Screenshot erstellen, ausdrucken und abheften konnte. Immer noch sicher, wenn man das Ganze wirklich nur einmal ausgedruckt und sicher unter Verschluß genommen hat. Nun die Sache mit der Cloud … Geht eigentlich nur, wenn die Seed auf dem Rechner des Users verschlüsselt und dann die verschlüsselte Datei gesichert in die Cloud übertragen wird. Es geht eindeutig in Richtung mehr Komfort, weniger Sicherheit. Dabei haben doch die meisten Leute noch alte Smartphones herumliegen. Kann man doch problemlos einen Authenticator darauf installieren, mit denselben Seeds und dann beim Dienst registrieren als zugelassenes Gerät. Im Ergebnis hat man 2 – 3 registrierte Geräte. Verliert man eins, loggt man sich mit dem zweiten Gerät ein und entzieht dem verlorenen Gerät die Zulassung.
Hey :) Ist da schon was geschehen und gibt es da bereits E2E? Finde leider nichts aktuelles dazu.