Sapevi che Google Authenticator non era sicuro fino ad ora? Potrebbe essere difficile da accettare, ma è così. Google sta ora pianificando di aggiungere la crittografia end-to-end a Google Authenticator. Alcuni giorni fa, i ricercatori di sicurezza avevano criticato l’azienda per non aver aggiunto un elevato livello di sicurezza al suo strumento premium.
In risposta alle critiche, l’azienda sta implementando una funzione di sincronizzazione dell’account per Google Authenticator. Sul suo account Twitter, il product manager di Google Christiaan Bran scrive che la società prevede di offrire E2EE in futuro. Mr. Brand scrive,
“Per ora, riteniamo che il nostro prodotto attuale raggiunga il giusto equilibrio per la maggior parte degli utenti e offra vantaggi significativi rispetto all’utilizzo offline. Tuttavia, l’opzione per utilizzare l’applicazione offline rimarrà una scelta per coloro che preferiscono gestire la propria strategia di backup”.
Google Authenticator otterrà l’autenticazione end-to-end…
È stato scioccante apprendere che Google Authenticator non dispone di una funzione di sicurezza affidabile. All’inizio di questa settimana, lo strumento aveva iniziato a mostrare ai suoi utenti un’opzione di autenticazione a due fattori. Con questa opzione, gli utenti saranno in grado di sincronizzare i codici di autenticazione a due fattori con i propri account Google. In questo modo sarà più facile per gli utenti accedere ai propri account Google sui nuovi dispositivi.
Notizie della settimana di Gizchina
Questo è un cambiamento gradito, ma potrebbe comportare alcuni problemi di sicurezza. Con questa modifica, gli hacker potranno accedere a tutti gli account Google collegati di un utente irrompendone uno. Una cosa è certa, gli hacker e persino Google non saranno in grado di vedere le informazioni degli utenti se questa funzione ottiene il supporto E2EE. Mysk, un ricercatore di sicurezza, ha evidenziato questi rischi su Twitter. Hanno detto:
“Se si verifica una violazione dei dati o qualcuno ottiene l’accesso al tuo account Google, tutti i tuoi segreti 2FA verranno compromessi.”
Secondo i ricercatori, Google sarà in grado di accedere alle informazioni degli utenti per visualizzare annunci personalizzati senza E2EE. Hanno consigliato agli utenti di non utilizzare questa funzione fino a quando Google non aggiungerà il supporto E2EE. A sua volta, Brand ha reagito alle critiche e ha dichiarato:
“Sebbene Google crittografi i dati in transito e inattivi in tutti i nostri prodotti, incluso Google Authenticator, l’applicazione di E2EE ha il costo di impedire agli utenti di i propri dati senza recupero.
Al momento, non siamo sicuri quando Google aggiungerà la funzione E2EE a Google Authenticator. Tuttavia, gli utenti avranno la possibilità di abilitare questa funzione senza E2EE, oppure possono continuare a utilizzare questa funzione offline.
Fonte/VIA: