Qualcuno con accesso illimitato ai sistemi di Google e intenzioni malevole potrebbe compromettere gli account non Google tramite Google Authenticator? No.
Potrebbero compromettere gli account non di Google tramite molti altri servizi Google che probabilmente useranno anche qualcuno che utilizza l'autenticatore di Google? Probabilmente.
In primo luogo, l'autenticatore di Google viene utilizzato per implementare l'autenticazione multi . Il punto principale di questo è che se un metodo di autenticazione viene compromesso, l'altro metodo di autenticazione dovrebbe impedire all'utente malintenzionato di ottenere l'accesso. Inoltre, questi metodi di autenticazione sono in genere progettati per essere isolati, quindi qualcuno che è in grado di compromettere qualcosa che conosci (ad esempio una password) non dovrebbe essere in grado di compromettere qualcosa che hai (ad esempio un dispositivo fisico) allo stesso tempo. Anche se l'autenticatore di Google fosse stato compromesso, un utente malintenzionato non avrebbe necessariamente anche la password.
In secondo luogo, l'autenticatore di Google implementa TOTP . Il segreto viene comunicato solo tra il servizio che richiede l'autenticazione e il dispositivo, quindi, a meno che Google non sia il servizio, non è necessario che il segreto venga comunicato a Google.
Ora ovviamente l'ipotesi che il segreto non sarà comunicato a Google dipende dall'integrità del cliente. È possibile che l'app installata sia stata compromessa per acquisire il segreto e inviarlo all'attaccante. Google Authenticator è open source , quindi potresti teoricamente verificare che il codice faccia ciò che dovrebbe quindi compilare tu stesso. In realtà se un utente malintenzionato ha la possibilità di compromettere arbitrariamente il software sul tuo dispositivo, probabilmente potrebbe compromettere qualsiasi forma di 2FA che coinvolge il dispositivo (ad esempio SMS) e Google Authenticator non rappresenta un ulteriore rischio.
A parte questo, se qualcuno di Google volesse attaccarti ci sono probabilmente strade più efficaci che non coinvolgono Google Authenticator. Ad esempio, dato che il Play Store su un dispositivo Android è firmato dallo stesso certificato del sistema, può accedere alle autorizzazioni per installare il software senza il tuo esplicito permesso. Se hai utilizzato Gmail, potrebbero anche molto probabilmente accedere ad account non Google reimpostando le password.
TLDR; Un utente malintenzionato con accesso illimitato ai sistemi di Google rappresenterebbe quasi certamente una minaccia per gli account non Google, ma non a causa di Authenticator.