Google Authenticator uçtan uca şifrelemeye kavuşuyor. Güvenlik araştırmacılarının Authenticator’ın hesap senkronizasyonu güncellemesine dahil etmediği için şirketi eleştirmesinin ardından, Google ürün müdürü Christiaan Brand Twitter’da şirketin gelecekte “E2EE (Uçtan Uca Şifreleme) sunma planları” olduğunu söyleyerek yanıt verdi. Brand, “Şu anda, mevcut ürünümüzün çoğu kullanıcı için doğru dengeyi sağladığına ve çevrimdışı kullanıma göre önemli avantajlar sağladığına inanıyoruz” diye yazıyor. “Ancak, uygulamayı çevrimdışı kullanma seçeneği, yedekleme stratejilerini kendileri yönetmeyi tercih edenler için bir alternatif olmaya devam edecek.”
Bu haftanın başlarında, Google Authenticator nihayet kullanıcılara iki faktörlü kimlik doğrulama kodlarını Google hesaplarıyla senkronize etme seçeneği sunmaya başladı ve yeni cihazlarda hesaplarda oturum açmayı çok daha kolay hale getirdi. Bu memnuniyet verici bir değişiklik olsa da, bir kişinin Google hesabına giren bilgisayar korsanları potansiyel olarak diğer hesaplara da erişebileceğinden, bazı güvenlik endişelerini de beraberinde getiriyor. Bu özellik E2EE’yi destekliyor olsaydı, bilgisayar korsanları ve Google da dahil olmak üzere diğer üçüncü taraflar bu bilgileri göremezdi.
Güvenlik araştırmacıları Mysk, Twitter’da paylaştıkları bir gönderide bu risklerden bazılarına dikkat çekerek, “bir veri ihlali olması ya da birinin Google hesabınıza erişim sağlaması durumunda, tüm 2FA (İki Faktörlü Doğrulama) sırlarınızın tehlikeye gireceğini” belirtti. Google’ın hesaplarınızla bağlantılı bilgileri kişiselleştirilmiş reklamlar sunmak için kullanabileceğini de eklediler ve kullanıcılara E2EE’yi destekleyene kadar senkronizasyon özelliğini kullanmamalarını tavsiye ettiler. Brand, Google’ın “Google Authenticator da dahil olmak üzere tüm ürünlerimizde aktarım halindeki ve bekleyen verileri” şifrelediğini, ancak E2EE’yi uygulamanın “kullanıcıların kurtarılmadan kendi verilerinden kilitlenmelerine olanak sağlama maliyetine” geldiğini belirterek eleştirilere karşı çıktı. Google’ın Authenticator’ın yeni hesap senkronizasyonu özelliğine E2EE’yi ne zaman getireceğine dair henüz bir zaman çizelgesi bulunmamakla birlikte, kullanıcılara bu özelliği E2EE olmadan kullanma ya da Google Authenticator’ı çevrimdışı olarak kullanmaya devam etme seçeneği bırakılıyor.
