Baru Saja Diperbarui, Google Authenticator Dikritik. Tak Terenkripsi End-To-End, Kode OTP Mudah Ditiru Hacker

Cyberthreat.id – Dua hari usai Google mengumumkan pembaruan produknya, Google Authenticator, peneliti keamanan siber menohok raksasa internet itu dengan temuan bahwa tak ada enkripsi end-to-end (E2E) dalam pencadangan token atau kata sandi sekali pakai (OTP/2FA) ke cloud.

Pada 24 April lalu, Google mengenalkan sinkronisasi pencadangan kode OTP Google Authenticator ke cloud. Fitur ini memang opsional, pengguna dapat memilih menggunakan Authenticator tanpa harus menautkannya ke akun Google pengguna.

Pembaruan itu menjawab keluhan pengguna Google Authenticator yang kehilangan ponsel pintarnya. "Karena kode OTP Authenticator hanya disimpan di satu perangkat, kehilangan perangkat berarti pengguna sulit masuk ke layanan apa pun yang telah dilindungi kode OTP Authenticator," tutur Google di blog perusahaan.

Oleh karenanya, kini kode OTP itu disimpan lebih lama dan diklaim lebih aman di akun Google pengguna.

"Kegembiraan" itu tersikut oleh temuan peneliti keamanan dari Mysk yang mengunggah ulasannya di akun Twitter-nya pada 26 April. Mereka justru menyarankan agar pengguna baik iOS maupun Android tidak mengikuti rekomendasi Google untuk menyinkronkan Authenticator ke akun Google.

"Kami menganalisis lalu lintas jaringan saat aplikasi menyinkronkan 'rahasia' (baca: kode OTP), dan ternyata lalu lintas tersebut tidak terenkripsi end-to-end," ujar peneliti.

Dalam tangkapan layar yang dibagikan, mereka menunjukkan, bahwa Google dapat melihat kode OTP tersebut, "kemungkinan besar bahkan saat disimpan di server mereka. Tidak ada pilihan menambahkan frasa sandi untuk melindungi 'rahasia' agar hanya dapat diakses oleh pengguna," tulis peneliti.

Peneliti menjelaskan, setiap kode QR OTP berisi rahasia. Jika orang lain mengetahui rahasianya, mereka dapat menghasilkan kode OTP yang sama. "Jadi, jika terjadi pelanggaran data atau jika seseorang mendapatkan akses ke akun Google Anda, semua rahasia 2FA Anda akan disusupi," tulis peneliti.

Selain itu, kode QR 2FA biasanya berisi informasi lain seperti nama akun dan nama layanan (mis. Twitter, Amazon, dll). Karena Google dapat melihat semua data ini, Google mengetahui layanan daring mana yang digunakan, dan berpotensi menggunakan informasi ini untuk iklan yang dipersonalisasi.

"Anehnya, ekspor data Google tidak menyertakan rahasia 2FA yang disimpan di Akun Google pengguna. Kami mengunduh semua data yang terkait dengan akun Google yang kami gunakan, dan kami tidak menemukan jejak rahasia 2FA," peneliti menambahkan.

"Intinya: meski menyinkronkan kode 2FA di seluruh perangkat itu mudah, juga mengorbankan privasi Anda. Untungnya, Google Authenticator masih menawarkan opsi untuk menggunakan app without signing atau menyinkronkan 'rahasia'. Saat ini kami merekomendasikan untuk penggunaan aplikasi tanpa fitur sinkronisasi," kata peneliti.

Google menjawab kritik

Google langsung menjawab kritik tersebut dan mengakui bahwa sinkronasi tersebut tidak menyertakan perlindungan enkripsi E2E.

Manajer Produk Grup Google Christiaan Brand kepada BleepingComputer mengatakan perusahaan berencana membawa fitur keamanan tersebut ke Google Authenticator versi baru ke depan. Untuk saat ini, pilihan itu masih belum bisa dilakukan karena risiko bahwa pengguna justru bisa terkunci dari data mereka sendiri.

Christiaan mengatakan, penggunaan enkripsi E2E perlu kehati-hatian agar memberikan kenyamanan bagi pengguna.

Enkripsi E2E adalah data dienkripsi pada perangkat menggunakan kata sandi yang hanya diketahui pemiliknya sebelum dikirim dan disimpan di perangkat lain. Karena data ini dienkripsi, data tersebut tidak lagi dapat diakses oleh orang lain, bahkan mereka yang memiliki akses ke server tempat data disimpan.

“Keamanan dan keselamatan pengguna kami sangat penting untuk semua yang kami lakukan di Google, dan ini adalah tanggung jawab yang kami anggap serius," kata Christiaan.

"Pembaruan terbaru untuk aplikasi Google Authenticator dilakukan dengan mempertimbangkan misi tersebut dan kami mengambil langkah hati-hati untuk memastikan kami dapat menawarkannya kepada pengguna dengan cara yang melindungi keamanan dan privasi mereka, tetapi juga bermanfaat dan nyaman."

"Kami mengenkripsi data saat transit, di seluruh produk kami, termasuk di Google Authenticator. Enkripsi E2E adalah fitur andal yang memberikan perlindungan ekstra, tetapi dengan risiko yang memungkinkan pengguna terkunci dari data mereka sendiri tanpa pemulihan."

"Untuk memastikan bahwa kami menawarkan serangkaian opsi lengkap bagi pengguna, kami juga telah mulai meluncurkan enkripsi E2E secara opsional di beberapa produk kami, dan kami berencana menawarkan enkripsi ini untuk Google Authenticator di masa mendatang," tutur Christiaan.

Google saat ini sudah menyediakan enkripsi E2E di beberapa layanannya, seperti Google Chrome, yang memungkinkan pengguna  mengatur frasa sandi  untuk mengenkripsi data yang disinkronkan dengan akun Google.[]