L’ultima versione dell’app Google Authenticator per Android e iOS permette di sincronizzare i codici OTP sul cloud. I ricercatori di Mysk hanno tuttavia scoperto che non viene applicata la crittografia end-to-end, quindi i codici potrebbero essere letti da tutti. L’azienda di Mountain View ha promesso che in futuro verrà implementata questa protezione.
Meglio non attivare la sincronizzazione
La sincronizzazione offerta da Google Authenticator evita il trasferimento manuale dei codici dal vecchio al nuovo dispositivo, in quanto è sufficiente accedere alla stesso account Google. I ricercatori di Mysk hanno però scoperto che l’invio dei codici al cloud non è sicuro. Il traffico verso i server di Google non è protetto dalla crittografia end-to-end.
Ogni codice QR 2FA contiene un segreto o seed usato per generare il codice OTP. Se qualcuno conosce il segreto è possibile generare gli stessi codici e quindi aggirare l’autenticazione in due fattori. Ciò può avvenire nel caso di un data breach ai danni di Google o se un cybercriminale riesce ad accedere all’account.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
I ricercatori sottolineano inoltre che i codici QR 2FA contengono altre informazioni, tra cui nome dell’account e nome del servizio, quindi Google potrebbe vedere questi dati e sfruttarli per visualizzare inserzioni pubblicitarie personalizzate. Google supporta l’uso di una passphrase per proteggere i dati di Chrome, quindi potrebbe estenderla anche all’app Authenticator.
Christiaan Brand, Product Manager di Google, ha comunicato che la crittografia end-to-end verrà aggiunta all’app in futuro. Sarà però opzionale perché la sua attivazione potrebbe impedire l’accesso ai codici senza possibilità di recupero (se l’utente dimentica la passphrase).