Questa settimana è stata annunciata l’introduzione di una nuova funzionalità in Google Authenticator: permette di creare il backup degli account gestiti con l’autenticazione a due fattori (2FA) sui server cloud dell’azienda di Mountain View. Ne abbiamo parlato nell’articolo. Si tratta di una funzione che consente agli utenti di sincronizzare i propri token Google Authenticator nel proprio account Google approfittando del backup conservato sul cloud in caso di smarrimento o danneggiamento del dispositivo mobile.
I ricercatori di Mysk hanno spiegato, però, che i dati non vengono crittografati end-to-end quando ne viene eseguito il backup sui server cloud di Google. L’app Authenticator, almeno nella veste attuale, non si serve della cifratura end-to-end quindi Google può leggere i “segreti” degli utenti, anche quando essi sono memorizzati sui suoi server. In questo momento, Google Authenticator non permette di impostare una passphrase per proteggere i dati dell’utente.
Poiché Google Authenticator non offre la crittografia end-to-end, i dati vengono archiviati sul server di Google in un formato a cui gli utenti non autorizzati potrebbero potenzialmente accedere, tramite una violazione della sicurezza o l’attività svolta da un dipendente infedele.
Ogni codice QR contenente i dati per l’autenticazione a due fattori ospita un segreto utilizzato per generare codici monouso o OTP. Se qualcun altro conosce il segreto, questi può generare gli stessi codici monouso e superare la protezione esercitata dall’autenticazione a due fattori.
“Se si verifica una violazione dei dati o se qualcuno ottiene l’accesso all’account Google, tutti i segreti 2FA verrebbero compromessi“, osserva ancora Mysk.
Authy, un’altra popolare app di autenticazione, è cresciuta in popolarità nel corso degli anni in quanto permette di creare backup su cloud dei token 2FA: tutte le informazioni vengono crittografate end-to-end.
Quando si utilizza questa funzione su Authy, gli utenti devono inserire una password che solo loro conoscono, facendo sì che tutti i dati caricati vengano crittografati prima di lasciare il dispositivo mobile. Inoltre, Authy non consente il backup dei dati a meno che non sia impostata una password crittografica, fornendo una maggiore sicurezza.
Crittografia end-to-end in arrivo anche su Google Authenticator
Google ha ascoltato le preoccupazioni degli utenti sulla mancanza della crittografia end-to-end nell’app Authenticator e ha anticipato che la funzione verrà presto aggiunta.
Christiaan Brand, Product Manager di Google, ha fatto presente che l’implementazione della cifratura end-to-end sta richidendo un po’ di tempo in più rispetto a quanto originariamente preventivo perché si vuole evitare che gli utenti possano in qualche modo risultare impossibilitati ad accedere ai loro dati riservati.
“Crittografiamo i dati in transito e inattivi su tutti i nostri prodotti, incluso Google Authenticator. La crittografia end-to-end (E2EE) è una potente funzionalità che fornisce protezioni aggiuntive, ma ha lo svantaggio che in alcuni casi potrebbe far sì che gli utenti restino bloccati senza possibilità di recuperare i loro dati“, ha spiegato Brand. “Prevediamo comunque di integrare in futuro la crittografia end-to-end anche in Google Authenticator“.
Google fornisce già la crittografia end-to-end in alcuni dei suoi servizi: lo stesso browser Chrome consente di impostare una passphrase per crittografare i dati sincronizzati con gli account Google.