Google ha añadido una nueva función a su aplicación 2FA Authenticator que permite a los usuarios sincronizar los secretos de sus cuentas entre dispositivos.
Sin embargo, los investigadores han advertido de que esta función puede filtrar los secretos 2FA de los usuarios a Google.
Los investigadores descubrieron que cuando los usuarios activan la nueva función de sincronización, los detalles de su cuenta 2FA, incluidas las semillas, quedan sin cifrar dentro de sus paquetes de red HTTPS.
Y eso significa que cualquiera con una orden de registro de los datos de un usuario podría acceder potencialmente a sus secretos 2FA.
Google aún no ha respondido a las preocupaciones de los investigadores (!)
Mientras tanto, se recomienda desactivar la nueva función de sincronización hasta que Google pueda resolver los problemas de seguridad.