I ricercatori di Mysk hanno da poco scoperto e comunicato che all’ultima versione dell'app Google Authenticator per Android e iOS/iPadOS, la quale introduce la sincronizzazione dei codici OTP sul cloud e che è stata da poco rilasciata, non viene applicata la crittografia end-to-end.
Google Authenticator: l'app per Android e iOS/iPadOS non supporta la crittografia end-to-end
Questo sta purtroppo a significare che i codici potrebbero essere letti potenzialmente da chiunque. Alla luce di ciò, Google ha fatto sapere che prossimamente verrà implementata pure questa protezione.
Andando più in dettaglio, i ricercatori hanno però scoperto che l’invio dei codici al cloud non avviene in maniera sicura, visto e considerato che traffico verso i server di Google non è protetto dalla crittografia end-to-end.
Ogni codice QR 2FA contiene un segreto o seed usato per generare il codice OTP. Chi viene a conoscenza del segreto può generare gli stessi codici e, di conseguenza, andare ad aggirare il processo di autenticazione a due fattori.
I ricercatori asseriscono altresì che i codici QR 2FA contengono altre informazioni, come il nome dell’account e del servizio, per cui “big G” potrebbe vedere tali dati e sfruttarli per inserzioni pubblicitarie personalizzate.
Per ovviare, come anticipato, Google provvederà a rendere disponibile in un futuro non meglio precisato la crittografia end-to-end. Si tratterà tuttavia di una feature opzionale, in quanto la sua attivazione potrebbe impedire l’accesso ai codici senza possibilità di recupero.
Google, infatti, supporta l’uso di una passphrase per proteggere i dati di Chrome che potrebbe venire estesa pure all’app Authenticator e qualora dimenticata renderebbe praticamente impossibile il recupero dei dati.