Después de una espera de 13 años, Google Authenticator agregó una función de sincronización de cuenta 2FA que permite a sus usuarios hacer una copia de seguridad de sus secuencias de código 2FA en la nube, luego de lo cual pueden restaurarlas en un nuevo dispositivo.

Aunque el proceso en el que un usuario carga su secretos 2FA está encriptado, investigadores en Naked Security de Sophos y los desarrolladores de iOS en Mysk informaron que los detalles 2FA de un usuario estaban "sin cifrar dentro de los paquetes de red HTTPS de Google". Además, no hay ninguna opción en la que un usuario pueda cifrar su carga usando una frase de contraseña antes de que salga de su dispositivo.

Esto es preocupante debido al hecho de que una vez que se elimina el cifrado para el transporte de los datos después de que llega la carga, los datos están disponibles para Google y prácticamente para cualquier otra persona que busque esta información, incluso cualquier persona con una orden de registro.

Si bien es posible que Google aborde este problema de seguridad en el futuro, los investigadores de Mysk "recomiendan usar la aplicación sin la nueva función de sincronización por ahora".

“Aunque la sincronización de secretos 2FA entre dispositivos es conveniente, se produce a expensas de su privacidad. Afortunadamente, Google Authenticator aún ofrece la opción de usar la aplicación sin iniciar sesión ni sincronizar secretos”, dijo Investigadores de Mysk en un tweet.