Google Authenticator: arriva il supporto alla crittografia E2E

I ricercatori di Mysk hanno da poco scoperto e comunicato che all’ultima versione dell'app Google Authenticator per Android e iOS/iPadOS, la quale introduce la sincronizzazione dei codici OTP sul cloud e che è stata da poco rilasciata, non viene applicata la crittografia end-to-end.

Google Authenticator: l'app per Android e iOS/iPadOS non supporta la crittografia end-to-end

Questo sta purtroppo a significare che i codici potrebbero essere letti potenzialmente da chiunque. Alla luce di ciò, Google ha fatto sapere che prossimamente verrà implementata pure questa protezione.

Andando più in dettaglio, i ricercatori hanno però scoperto che l’invio dei codici al cloud non avviene in maniera sicura, visto e considerato che traffico verso i server di Google non è protetto dalla crittografia end-to-end.

Ogni codice QR 2FA contiene un segreto o seed usato per generare il codice OTP. Chi viene a conoscenza del segreto può generare gli stessi codici e, di conseguenza, andare ad aggirare il processo di autenticazione a due fattori.

I ricercatori asseriscono altresì che i codici QR 2FA contengono altre informazioni, come il nome dell’account e del servizio, per cui “big G” potrebbe vedere tali dati e sfruttarli per inserzioni pubblicitarie personalizzate.

Per ovviare, come anticipato, Google provvederà a rendere disponibile in un futuro non meglio precisato la crittografia end-to-end. Si tratterà tuttavia di una feature opzionale, in quanto la sua attivazione potrebbe impedire l’accesso ai codici senza possibilità di recupero.

Google, infatti, supporta l’uso di una passphrase per proteggere i dati di Chrome che potrebbe venire estesa pure all’app Authenticator e qualora dimenticata renderebbe praticamente impossibile il recupero dei dati.