No se puede confiar en un dispostivo de autenticación si procede de quien te tiene que reconocer. Es opuesto a la idea de autenticación "en dos pasos", porque así vuelve a ser "un solo paso".
Como dice el comentario del artículo original, así Google tendría acceso tanto las claves introducidas en Chrome como las del segundo factor.
Ya no es sólo cuestión de confiar en (o desconfiar de) Google. ¿Darías al zorro las llaves del gallinero?
El mayor problema es ¿qué gran empresa no ha sido atacada (con éxito) aún?