{"id":280228,"date":"2023-04-27T13:11:50","date_gmt":"2023-04-27T11:11:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280228"},"modified":"2023-05-12T15:43:16","modified_gmt":"2023-05-12T13:43:16","slug":"google-authenticator-backup-der-passcodes-im-google-konto-aber-ende-zu-ende-verschlsselung-kommt-erst-noch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/27\/google-authenticator-backup-der-passcodes-im-google-konto-aber-ende-zu-ende-verschlsselung-kommt-erst-noch\/","title":{"rendered":"Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschlüsselung kommt erst noch …"},"content":{"rendered":"

\"Stop[English<\/a>]Es ist ein Lehrst\u00fcck, wie es nicht wirklich laufen sollte. Die Google Authenticator-App erm\u00f6glicht eine Zweifaktor-Authentifizierung bei Online-Konten. Um bei einem Verlust des Handys mit der App ein Ersatzger\u00e4t verwenden zu k\u00f6nnen, hat Google in seiner Authenticator-App die M\u00f6glichkeit implementiert, die erforderlichen Passcodes im Google-Konto zu sichern. Was nach Begeisterung klingt, hat aktuell leider einen Pferdefu\u00df, denn die \u00dcbertragung des betreffenden Passcodes in das Google-Konto erfolgt ohne Ende-zu-Ende-Verschl\u00fcsselung. Nach Kritik von Sicherheitsexperten will Google die Ende-zu-Ende-Verschl\u00fcsselung immerhin nachr\u00fcsten.<\/p>\n

<\/p>\n

Google Authenticator: Backup der Passcodes im Google-Konto<\/h2>\n

\"\"Google Authenticator wurde im Jahr 2010 als kostenlose und einfache M\u00f6glichkeit f\u00fcr Websites, die Zwei-Faktor-Authentifizierung (2FA) erfordern, ver\u00f6ffentlicht. Die Google Authenticator-App steht sowohl f\u00fcr Android als auch f\u00fcr iOS zur Verf\u00fcgung. Durch die App soll die Sicherheit der Nutzer bei der Anmeldung an Online-Konten erh\u00f6ht werden.<\/p>\n

Problem bei diesem Ansatz ist aber, dass der Umgang mit dem Google Authenticator recht komplex werden kann, wenn das Ger\u00e4t, auf der die App installiert ist, gestohlen oder verloren wurde oder schlicht kaputt geht. Dann ist der auf dem Ger\u00e4t vom Google Authenticator gespeicherte einmalige Code (Passcodes) verloren, und die Nutzer k\u00f6nnen sich nicht mehr bei den betreffenden Diensten, mit Zwei-Faktor-Authentifizierung (2FA) im Authenticator eingerichtet sind. Es gibt zwar beim Einrichten Sicherheitscodes, mit denen man das Ganze entsperren kann – aber oft sind diese verloren oder verlegt worden.<\/p>\n

Auf Grund vielfachen Nutzerr\u00fcckmeldungen hat Google dann zum 24. April 2023 im Beitrag Google Authenticator now supports Google Account synchronization<\/a> eine Neuerung angek\u00fcndigt. Nach einem Update der Google Authenticator-App haben die Nutzer nun optional die M\u00f6glichkeit, den auf dem Ger\u00e4t vom Google Authenticator gespeicherten einmalige Code (Passcode) mit ihrem Google-Konto zu sichern. Geht das Ger\u00e4t mit der installierten Google Authenticator-App verloren, l\u00e4sst sich der ben\u00f6tigte Passcode mit einem neuen Ger\u00e4t \u00fcber das zugeordnete Google-Konto synchronisieren.<\/p>\n

Backup leider unverschl\u00fcsselt<\/h2>\n

Leider sind die Google-Entwickler etwas zu kurz gesprungen, denn die \u00dcbertragung des Passcodes durch die Authenticator-App in das Google-Konto des Benutzers erfolgt unverschl\u00fcsselt und ist damit potentiell unsicher. Darauf weist Mysk (iOS-Entwickler und Sicherheitsforscher) in einem Tweet<\/a> hin. Die relevante Passage lautet:<\/p>\n

We analyzed the network traffic when the app syncs the secrets, and it turns out the traffic is not end-to-end encrypted. As shown in the screenshots, this means that Google can see the secrets, likely even while they're stored on their servers. There is no option to add a passphrase to protect the secrets, to make them accessible only by the user.<\/p><\/blockquote>\n

Bei der Analyse des Netzwerkverkehr w\u00e4hrend des Backups des Passkeys fiel auf, dass diese Daten nicht Ende-zu-Ende verschl\u00fcsselt sind. Die \u00dcbertragung fand lediglich \u00fcber TLS statt, so dass ein Man-in-the-Middle-Angriff die Daten nicht lesen kann. Die Sicherheitsforscher haben im Tweet<\/a> sowie in diesem Beitrag<\/a> Screenshots ver\u00f6ffentlicht, die zeigen, was beim Backup \u00fcbertragen wird und dann im Klartext auf dem Google-Konto landet. Diese \u00dcbertragung enth\u00e4lt wohl nicht den Seed (oder den Geheimcode), der zur Generierung der Einmalcodes verwendet wird.<\/p>\n

Unklar ist aber, ob dieser Seed (das Geheimnis) mit im Klartext im Google Konto gesichert wird. In Artikeln wie hier<\/a> hei\u00dft es nun, dass auch die Geheimnisse der Authenticator-App von Google oder Dritten eingesehen werden k\u00f6nnten – was es erm\u00f6glichen w\u00fcrde, die gleichen Passkeys zu generieren. Meine Lesart des Texts von Mysk ist aber, dass genau diese \"Geheimnisse\" nicht in den \u00fcbermittelten Nachrichten gefunden wurden.<\/p>\n

Bei heise hat man das Ganze in der Redaktion analysiert und schreibt in diesem Artikel<\/a>, dass man unter Android 13 das Problem nachstellen konnten. Das TOTP-Geheimnis sei beim Synchronisieren \u00fcber das Netz an Google \u00fcbermittelt worden. Als Man-in-the-Middle konnten die heise-Redakteure das Ganze als Base32-kodiert im Datenstrom aufsp\u00fcren.<\/p>\n

Die unverschl\u00fcsselte \u00dcbertragung ist aus weiteren Gr\u00fcnden kritisch. Die \u00fcbertragenen 2FA-QR-Codes enthalten in der Regel weitere Informationen wie den Kontonamen und den Namen des Dienstes (z. B. Twitter, Amazon usw.), der f\u00fcr die Authentifizierung erfordert. Google kann alle diese Daten sehen, und wei\u00df, welche Online-Dienste die Leute verwenden. Gleiches gilt f\u00fcr Dritte, die Zugriff auf das Google-Konto erhalten. Das k\u00f6nnte Google m\u00f6glicherweise f\u00fcr personalisierte Werbung dienen, schreiben die Sicherheitsforscher.<\/p>\n

Die Sicherheitsforscher ziehen das Fazit: Die ger\u00e4te\u00fcbergreifende Synchronisierung von 2FA-Geheimnissen ist zwar praktisch, geht aber auf Kosten der Privatsph\u00e4re.\u00a0 Gl\u00fccklicherweise bietet Google Authenticator weiterhin die M\u00f6glichkeit, die App ohne Anmeldung oder Synchronisierung von Geheimnissen zu verwenden. Die Sicherheitsforscher empfehlen, die App vorerst ohne die neue Synchronisierungsfunktion zu verwenden.<\/p>\n

Google will Verschl\u00fcsselung nachr\u00fcsten<\/h2>\n

Nach dem Bericht von Mysk wurde Google aufgeschreckt. Ich bin auf Twitter<\/a> auf die Information gesto\u00dfen<\/a>, dass Google nun eine Ende-zu-Ende-Verschl\u00fcsselung (E2E) f\u00fcr den Authenticator zur Nachr\u00fcstung plant.<\/p>\n

Gegen\u00fcber heise hat sich Google \u00fcber eine Sprecherin folgenderma\u00dfen ge\u00e4u\u00dfert: \"Die Ende-zu-Ende-Verschl\u00fcsselung (E2EE) ist eine leistungsstarke Funktion, die zus\u00e4tzlichen Schutz bietet. Um sicherzustellen, dass wir unseren Nutzer:innen alle Optionen anbieten, haben wir damit begonnen, E2EE optional in einigen unserer Produkte einzuf\u00fchren, und wir planen, E2EE f\u00fcr Google Authenticator in Zukunft anzubieten.\" Die \u00dcbertragung sei eh mittels TLS abgesichert und somit w\u00e4hrend der \u00dcbertragung verschl\u00fcsselt. Aber die Speicherung erfolgt noch im Klartext. Wann die Ende-zu-Ende-Verschl\u00fcsselung in der App kommt, steht aber noch nicht fest. Vorsichtige Menschen verzichten also auch weiterhin auf das Backup der einmaligen Codes im Google-Konto, bis dieser Sachverhalt gekl\u00e4rt und das Problem beseitigt ist.<\/p>\n

Danke an den anonymen Blog-Leser f\u00fcr den Hinweis – ich hatte das Thema aber bereits anderweitig mitbekommen – es fehlte die Zeit, das aufzubereiten.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist ein Lehrst\u00fcck, wie es nicht wirklich laufen sollte. Die Google Authenticator-App erm\u00f6glicht eine Zweifaktor-Authentifizierung bei Online-Konten. Um bei einem Verlust des Handys mit der App ein Ersatzger\u00e4t verwenden zu k\u00f6nnen, hat Google in seiner Authenticator-App die M\u00f6glichkeit implementiert, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-280228","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280228"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280228\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}