Proton Perbaiki Bug Authenticator yang Bocorkan TOTP Secret ke Log Aplikasi

Proton, penyedia layanan privasi populer di balik Proton Mail dan Proton VPN, baru saja merilis pembaruan keamanan untuk memperbaiki bug serius di aplikasi Proton Authenticator. Bug ini menyebabkan TOTP secret key—komponen penting dalam sistem autentikasi dua faktor (2FA)—secara tidak sengaja tercatat di file log aplikasi, berpotensi membahayakan keamanan akun pengguna.

🔐 Apa Itu TOTP Secret dan Mengapa Penting?

TOTP (Time-based One-Time Password) adalah mekanisme autentikasi dua langkah yang menghasilkan kode unik berbasis waktu. Setiap pengguna memiliki secret key pribadi yang digunakan aplikasi untuk menghasilkan kode 2FA. Jika secret key ini bocor, siapa pun yang memilikinya bisa menghasilkan kode autentikasi yang valid dan membajak akses akun.

🧱 Detail Bug: Logging Internal yang Kurang Aman

Bug ditemukan di versi awal Proton Authenticator untuk Android, di mana string URL hasil pemindaian QR code yang berisi TOTP secret masih tercatat dalam log aplikasi lokal. File log ini bisa diakses oleh aplikasi lain dengan izin tertentu atau oleh penyerang yang mendapatkan akses fisik ke perangkat.

Proton mengonfirmasi bahwa:

• Bug hanya berdampak pada sebagian versi awal
• Tidak ada bukti eksploitasi aktif
• Secret yang sudah terekspos bisa disalahgunakan jika log tidak dihapus

📱 Diperbaiki di Versi Terbaru

Proton segera merilis pembaruan untuk menghapus perilaku logging tersebut dan menghapus log lama yang menyimpan TOTP secret secara otomatis saat aplikasi diperbarui. Pengguna sangat disarankan untuk:

• Segera perbarui Proton Authenticator ke versi terbaru
• Reset TOTP untuk akun penting jika sebelumnya menggunakan versi terdampak
• Hapus data log secara manual jika merasa perlu tindakan ekstra

🔍 Langkah Pencegahan untuk Pengguna Lain

Meskipun bug ini sudah diperbaiki, kejadian ini menjadi pengingat penting tentang:

• Pentingnya tidak menyimpan data sensitif di log aplikasi
• Perlu audit keamanan berkala, bahkan untuk aplikasi keamanan
• Selalu memperbarui aplikasi ke versi terbaru untuk mencegah kerentanan

Proton juga menyampaikan bahwa mereka akan memperketat proses QA dan audit internal agar insiden serupa tidak terulang.

Sumber: Proton fixes Authenticator bug leaking TOTP secrets in logs