立即更新:Proton Authenticator验证器发布新版本修复明文记录密钥漏洞
#安全资讯 立即升级:Proton Authenticator for iOS 版出现严重安全漏洞,会以明文形式记录 TOTP 密钥到日志。好消息是日志并不会发送到 Proton 服务器而是仅限本地调试,因此用户不主动分享日志的话那不会有安全风险。查看全文:https://ourl.co/110074
如果你使用 Proton Authenticator for iOS 版请立即转到 Apple App Store 更新并升级到最新版本,旧版本中存在某个严重的安全漏洞,会以明文形式将 TOTP 密钥转储到日志中可能会暴露多因素身份验证代码。
Proton Authenticator 是加密邮件提供商 Proton 在上周刚刚推出的免费身份验证器,该验证器支持数据同步且使用端到端加密保护数据,广泛支持各种平台因此目前还是非常受欢迎的。
不过 Reddit 网友在使用 iOS 版时发现其严重安全漏洞,网友在设置的日志下检查调试内容时发现 Proton Authenticator 竟然以明文形式暴露 TOTP 密钥,如果日志被共享则可能泄露多因素身份验证代码。
这个漏洞的原因则是 iOS 版 Proton Authenticator 将大量有关 TOTP 条目的数据添加到 params 变量中,然后又将变量传递给用于在应用程序里添加或更新 TOTP 的两个函数。
网友将漏洞报告给 Proton 后得到确认,日前 Proton 已经发布 Proton Authenticator 1.1.1 版修复这个错误,所以用户应当前往应用商店更新到最新版本确保安全。
此次漏洞潜在影响并不是非常大,主要是 Proton Authenticator 的数据仍然是端到端加密的,在本地解密后才能看到明文内容,因此在服务器上的数据依然是加密的不会出现明文。
除非用户主动将日志分享给其他人或者保存到网盘,否则日志内容不会泄露,这部分调试日志也不会上传到 Proton 的服务器,Proton 称如果有人拿到用户设备并成功解锁,那才有可能暴露风险。
