Google hatte vor etwa einem Monat hat eine Funktion zum Synchronisieren der geheimen Seeds, aus denen die App die Einmalpasswörter generiert, in seiner Authenticator-App integriert. Allerdings blieben die Daten innerhalb der TLS-verschlüsselten Verbindung als Base32-kodiert (also im Klartext) erhalten. Laut Changelog wurde für den Google Authenticator nun eine Ende-zu-Ende-Verschlüsselung nachgerüstet, die Abhilfe schaffen soll. Das scheint aber nicht der Fall zu sein.

Die Änderungsnotiz zur Version 6.0 des Google Authenticators lautet: "Geräteverschlüsselung zur Speicherung geheimer Werte hinzugefügt." Google hatte angekündigt, die Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) im Authenticator nachzuliefern.

Laut heise Security läuft auch in der neuen Version des Google Authenticators die Sicherung der Daten über eine TLS-verschlüsselte Verbindung. Wird als Man-in-the-Middle hineinschaut, liegen die geheimen Seeds allerdings nach wie vor als Base32-kodiert vor. Diese Seeds dürften bei einer Ende-zu-Ende-Verschlüsselung nicht mehr wiederzufinden sein. Unklar ist, was das Update genau verschlüsselt oder wann.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE