Google Authenticator: in arrivo la crittografia E2E
Topic
Approfondimenti
Trending
tutti

Google Authenticator: in arrivo la crittografia E2E

L'app Google Authenticator consente di sincronizzare i codici OTP sul cloud, ma non offre ancora la crittografia end-to-end per proteggere i dati.
Google Authenticator: in arrivo la crittografia E2E
Sicurezza
L'app Google Authenticator consente di sincronizzare i codici OTP sul cloud, ma non offre ancora la crittografia end-to-end per proteggere i dati.
Pixabay

L’ultima versione dell’app Google Authenticator per Android e iOS permette di sincronizzare i codici OTP sul cloud. I ricercatori di Mysk hanno tuttavia scoperto che non viene applicata la crittografia end-to-end, quindi i codici potrebbero essere letti da tutti. L’azienda di Mountain View ha promesso che in futuro verrà implementata questa protezione.

Meglio non attivare la sincronizzazione

La sincronizzazione offerta da Google Authenticator evita il trasferimento manuale dei codici dal vecchio al nuovo dispositivo, in quanto è sufficiente accedere alla stesso account Google. I ricercatori di Mysk hanno però scoperto che l’invio dei codici al cloud non è sicuro. Il traffico verso i server di Google non è protetto dalla crittografia end-to-end.

Ogni codice QR 2FA contiene un segreto o seed usato per generare il codice OTP. Se qualcuno conosce il segreto è possibile generare gli stessi codici e quindi aggirare l’autenticazione in due fattori. Ciò può avvenire nel caso di un data breach ai danni di Google o se un cybercriminale riesce ad accedere all’account.

I ricercatori sottolineano inoltre che i codici QR 2FA contengono altre informazioni, tra cui nome dell’account e nome del servizio, quindi Google potrebbe vedere questi dati e sfruttarli per visualizzare inserzioni pubblicitarie personalizzate. Google supporta l’uso di una passphrase per proteggere i dati di Chrome, quindi potrebbe estenderla anche all’app Authenticator.

Christiaan Brand, Product Manager di Google, ha comunicato che la crittografia end-to-end verrà aggiunta all’app in futuro. Sarà però opzionale perché la sua attivazione potrebbe impedire l’accesso ai codici senza possibilità di recupero (se l’utente dimentica la passphrase).

Fonte: Bleeping Computer

Pubblicato il 27 apr 2023

Link copiato negli appunti

Ti potrebbe interessare

Google Authenticator sincronizza i codici sul cloud

Google Authenticator sincronizza i codici sul cloud
NordVPN per il Black Friday ti regala -74% e +3 mesi gratis

NordVPN per il Black Friday ti regala -74% e +3 mesi gratis
Offerta Black Friday Incogni: cancella i dati online al 58% di sconto

Offerta Black Friday Incogni: cancella i dati online al 58% di sconto
Google: annunciata la prima falla scoperta dall'AI

Google: annunciata la prima falla scoperta dall'AI
Google Authenticator sincronizza i codici sul cloud

Google Authenticator sincronizza i codici sul cloud
NordVPN per il Black Friday ti regala -74% e +3 mesi gratis

NordVPN per il Black Friday ti regala -74% e +3 mesi gratis
Offerta Black Friday Incogni: cancella i dati online al 58% di sconto

Offerta Black Friday Incogni: cancella i dati online al 58% di sconto
Google: annunciata la prima falla scoperta dall'AI

Google: annunciata la prima falla scoperta dall'AI
Luca Colantuoni
Pubblicato il
27 apr 2023
Link copiato negli appunti