Google verspricht Geräteverschlüsselung im Authenticator - liefert aber nicht

Google hat dem Authenticator eine Backup-Funktion spendiert, die Geheimnisse jedoch nicht verschlüsselt. Ein Update soll das ändern. Das tut es aber nicht.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen

(Bild: Google)

Lesezeit: 2 Min.
Von

Vor etwa einem Monat hat Google seiner Authenticator-App eine Funktion zum Synchronisieren der geheimen Seeds, aus denen die App die Einmalpasswörter generiert, spendiert. Gut gemeint ist oft schlecht gemacht, so auch hier: Innerhalb der TLS-verschlüsselten Verbindung blieben die Daten im Klartext erhalten. Abhilfe schafft die Verschlüsselung der Daten bereits auf dem Endgerät, also eine Ende-zu-Ende-Verschlüsselung. Die soll laut Changelog das jetzt veröffentlichte Update für Google Authenticator nachrüsten. Das tut es jedoch nicht.

Im Google Play Store hat der Hersteller eine Aktualisierung für den Authenticator bereitgestellt. Sie soll die versprochene Geräteverschlüsselung der geheimen Seeds nachliefern macht das aber nicht.

(Bild: Screenshot / dmk)

Zumindest besagt die Änderungsnotiz zur Version 6.0 des Google Authenticators: "Geräteverschlüsselung zur Speicherung geheimer Werte hinzugefügt." Google hatte ob der Empörung in IT-Sicherheitskreisen angekündigt, die Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) im Authenticator nachzuliefern.

Von heise Security in der neuen Version hinzugefügte Konten landeten wie erwartet auch im Backup des Google Authenticators. Die Sicherung der Daten läuft über eine TLS-verschlüsselte Verbindung. Wer dort als Man-in-the-Middle jedoch hineinschaut, findet darin Base32-kodierte geheime Seeds vor – faktisch handelt es sich um Klartext. Bei einer Ende-zu-Ende-Verschlüsselung dürften die Seeds nicht mehr wiederzufinden sein.

Was das Update genau verschlüsselt oder wann, bleibt unklar. Eine Antwort auf die Anfrage von heise online bei Google, ob das Update die versprochene E2EE liefert und ob Nutzer dazu gegebenenfalls noch etwaige Einstellung zur Aktivierung vornehmen müssen, steht derzeit noch aus.

Das geheime Seed findet sich in der TLS-verschlüsselten Verbindung – als unverschlüsselter Klartext.

(Bild: Screenshot / rei)

Nach dem bisherigen Kenntnisstand lautet der Tipp von heise Security weiterhin, auf andere Authenticator-Apps zu setzen. Andere Apps, beispielsweise Authy, können die geheimen Seeds sichern und snychronisieren und schützen diese mit einem lediglich dem Nutzer bekannten Master-Kennwort.

(dmk)