Google Authenticator: in arrivo la crittografia E2E

Google Authenticator: in arrivo la crittografia E2E

L'app Google Authenticator consente di sincronizzare i codici OTP sul cloud, ma non offre ancora la crittografia end-to-end per proteggere i dati.
Google Authenticator: in arrivo la crittografia E2E
L'app Google Authenticator consente di sincronizzare i codici OTP sul cloud, ma non offre ancora la crittografia end-to-end per proteggere i dati.

L’ultima versione dell’app Google Authenticator per Android e iOS permette di sincronizzare i codici OTP sul cloud. I ricercatori di Mysk hanno tuttavia scoperto che non viene applicata la crittografia end-to-end, quindi i codici potrebbero essere letti da tutti. L’azienda di Mountain View ha promesso che in futuro verrà implementata questa protezione.

Meglio non attivare la sincronizzazione

La sincronizzazione offerta da Google Authenticator evita il trasferimento manuale dei codici dal vecchio al nuovo dispositivo, in quanto è sufficiente accedere alla stesso account Google. I ricercatori di Mysk hanno però scoperto che l’invio dei codici al cloud non è sicuro. Il traffico verso i server di Google non è protetto dalla crittografia end-to-end.

Ogni codice QR 2FA contiene un segreto o seed usato per generare il codice OTP. Se qualcuno conosce il segreto è possibile generare gli stessi codici e quindi aggirare l’autenticazione in due fattori. Ciò può avvenire nel caso di un data breach ai danni di Google o se un cybercriminale riesce ad accedere all’account.

I ricercatori sottolineano inoltre che i codici QR 2FA contengono altre informazioni, tra cui nome dell’account e nome del servizio, quindi Google potrebbe vedere questi dati e sfruttarli per visualizzare inserzioni pubblicitarie personalizzate. Google supporta l’uso di una passphrase per proteggere i dati di Chrome, quindi potrebbe estenderla anche all’app Authenticator.

Christiaan Brand, Product Manager di Google, ha comunicato che la crittografia end-to-end verrà aggiunta all’app in futuro. Sarà però opzionale perché la sua attivazione potrebbe impedire l’accesso ai codici senza possibilità di recupero (se l’utente dimentica la passphrase).

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 apr 2023
Link copiato negli appunti