Google ha integrato la funzionalità spesso richiesta nell’autenticazione, mediante la quale i semi segreti, necessari per calcolare un token una tantum come secondo fattore, possono essere sincronizzati e recuperati su altri dispositivi. Tuttavia, la società ha rilasciato la responsabilità di trasmettere questi dati in chiaro. Google ora sta cercando di limitare i danni: all’autenticazione deve arrivare la crittografia end-to-end.
Google Authenticator: testo normale riservato
Ieri è stato annunciato che la funzione di sincronizzazione segreta “seed” potrebbe essere attivata come previsto. Tuttavia, i dati erano solo codificati in Base32, cioè de facto testo normale, su tutta la linea. heise Security è stata in grado di riprodurlo nei propri test.
Poiché il segreto può effettivamente essere utilizzato per revocare l’autenticazione a più fattori, deve sempre rimanere a disposizione del legittimo proprietario. Tuttavia, con il metodo attuale, Google o gli aggressori nella posizione di intermediario nella rete potrebbero ottenere l’accesso a questi dati sensibili. Per questo motivo, Heise Security attualmente sconsiglia l’utilizzo di Google Authenticator.
Google ha ora preso posizione su questo argomento. “La sicurezza dei nostri utenti viene prima di tutto in tutto ciò che facciamo in Google”, ha detto a Heise Online una portavoce dell’azienda. “Prendiamo seriamente questa responsabilità. Il recente aggiornamento dell’app Google Authenticator è stato implementato con questa missione in mente, passaggi accurati per garantire che lo presentiamo agli utenti in un modo che protegga la loro sicurezza e privacy, ma sia anche utile e conveniente.
Trasferimento su una connessione TLS sicura
Ha continuato affermando che i dati sono crittografati in transito e inattivi in tutti i prodotti, incluso Google Authenticator. “La crittografia end-to-end (E2EE) è una potente funzionalità che fornisce una protezione aggiuntiva. Per garantire ai nostri utenti tutte le opzioni, abbiamo iniziato a offrire E2EE come opzione in alcuni dei nostri prodotti e prevediamo di offrire E2EE per Google Autenticatore in futuro.”
La trasmissione avviene tramite una connessione sicura TLS, sebbene gli endpoint funzionino con informazioni in testo normale, per quanto è possibile comprendere l’istruzione. Tuttavia, Google non fornisce un lasso di tempo per quando la crittografia end-to-end uscirà per Google Authenticator. Fino a quando gli sviluppatori non modificheranno la funzionalità, heise Security si atterrà alla raccomandazione precedente di utilizzare un autenticatore diverso. Altre app come Authy offrono anche la sincronizzazione e il backup dei segreti TOTP, ma li proteggono solo con una password principale nota all’utente.
(DMK)