Google ha iniziato a distribuire sul mercato le proprie Titan Security Key annunciate alla Google Cloud Next 2018. In qualità di elemento essenziale per la sicurezza dell’utente, garante dell’accesso ai propri account, tale strumento ha pertanto attirato le attenzioni di esperti di sicurezza a cui alcuni aspetti non sono parsi fin da subito sufficientemente chiari.
Nelle Google Titan Security Key un aspetto su tutti non ha convinto: il fatto che le chiavi siano prodotte in Cina, laddove mani esperte potrebbero inserire invisibili backdoor nel dispositivo avendo potenzialmente accesso ad account molto importanti. Un esempio: Google ha spiegato che nessuno degli 85000 tester alle proprie dipendenze ha avuto alcun problema di sicurezza negli ultimi mesi, attribuendo il merito di tale successo proprio all’uso delle Titan Security Key. Tuttavia, secondo i dubbi raccolti da Motherboard, il fatto che la produzione sia stata affidata alla cinese Feitian (aspetto confermato dalla stessa Google), presterebbe il fianco a non impossibili ingerenze da parte delle autorità cinesi.
I dubbi sono stati inizialmente resi pubblici da Alex Stamos, chief information security officer di Facebook, ma la risposta di Google è precisa: la sicurezza del dispositivi consta in un firmware in grado di garantire l’integrità del dispositivo. Lo stesso non lo pensano alcuni concorrenti (che fin dalla prima ora hanno voluto sottolineare come, a differenza delle chiavi di Mountain View, altre chiavi alternative siano invece prodotte in Europa o USA), e alcuni esperti di sicurezza secondo i quali a Google è richiesto un atto di trasparenza relativo alle modalità con cui la chiave è prodotta: nel percorso di sviluppo possono celarsi i problemi o emergere le qualità, ma nel mistero possono soltanto essere coltivati dubbi.
Dal responsabile per la sicurezza Facebook, nel frattempo, giunge semplicemente un doppio consiglio: quello di non sparare nel mucchio (non tutto quel che è fatto in cina è giocoforza insicuro), ma al tempo stesso anche quello di non utilizzare le chiavi in vendita sul Google Store (peraltro al momento non ancora comparse sullo store italiano).
I think I can believe two things:
1) People throw around "that is made in China" as shorthand for "it is definitely backdoored" with no evidence or consideration for compensating controls.
2) I'm not recommending the Google keys.
— Alex Stamos (@alexstamos) August 30, 2018