All’inizio di questa settimana, Google ha aggiornato la sua app Authenticator per consentire il backup e la sincronizzazione dei codici 2FA su tutti i dispositivi utilizzando un account Google. Ora un esame da parte dei ricercatori della sicurezza di Mysk ha scoperto che i passcode monouso sensibili che vengono sincronizzati con il cloud non sono crittografati end-to-end, lasciandoli potenzialmente esposti a malintenzionati.
Prima all’integrazione del supporto dell’account Google, tutti i codici nell’app Google Authenticator sono stati memorizzati sul dispositivo, il che significava che se il dispositivo veniva perso, lo erano anche i passcode monouso, causando potenzialmente anche la perdita dell’accesso all’account. Ma sembra che abilitando la sincronizzazione basata su cloud, Google abbia esposto gli utenti a un rischio per la sicurezza di tipo diverso.
“Abbiamo analizzato il traffico di rete quando l’app sincronizza i segreti e risulta che il traffico non è crittografato end-to-end”, ha affermato Mysk tramite Twitter.”Ciò significa che Google può vedere i segreti, probabilmente anche mentre sono archiviati sui propri server. Non è possibile aggiungere una passphrase per proteggere i segreti, per renderli accessibili solo all’utente.”
“Segreti“è un termine utilizzato per riferirsi a informazioni private che fungono da chiavi per sbloccare risorse protette o informazioni sensibili; in questo caso, passcode monouso.
Mysk ha affermato che i suoi test hanno rilevato che il traffico non crittografato contiene un”seme”utilizzato per generare i codici 2FA. Secondo i ricercatori, chiunque abbia accesso a quel seme può generare i propri codici per gli stessi account e violarli.
“Se i server di Google fossero compromessi, i segreti potrebbero trapelare”, ha detto Mysk a Gizmodo. Poiché i codici QR coinvolti nell’impostazione dell’autenticazione a due fattori contengono il nome dell’account o del servizio, l’attaccante può anche identificare gli account.”Questo è particolarmente rischioso se sei un attivista e gestisci altri account Twitter in modo anonimo”, hanno aggiunto i ricercatori.
Mysk ha successivamente consigliato agli utenti di non abilitare la funzione dell’account Google che sincronizza i codici 2FA tra i dispositivi e il cloud.
Google ha appena aggiornato la sua app 2FA Authenticator e ha aggiunto una funzionalità tanto necessaria: la possibilità di sincronizzare i segreti su tutti i dispositivi. TL; DR: non accenderlo. Il nuovo aggiornamento consente agli utenti di accedere con il proprio account Google e sincronizzare i segreti 2FA sui propri dispositivi iOS e Android.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 aprile 2023
In risposta all’avviso, un portavoce di Google ha detto a CNET aveva aggiunto in anticipo la funzione di sincronizzazione per comodità, ma la crittografia end-to-end è ancora in arrivo:
La crittografia end-to-end (E2EE) è una potente funzionalità che fornisce protezioni aggiuntive, ma al costo di consentire agli utenti di rimanere bloccati dai propri dati senza ripristino. Per assicurarci di offrire un set completo di opzioni per gli utenti, abbiamo anche iniziato a implementare E2EE opzionale in alcuni dei nostri prodotti e prevediamo di offrire E2EE per Google Authenticator in futuro.”
Fino a quando ciò non accadrà, esistono servizi alternativi per la sincronizzazione dei codici di autenticazione tra i dispositivi, come il generatore di codici 2FA di Apple e app di terze parti come Authy.