Google Authenticator: avviso: backup “seed” segreti in testo normale

Date:

Share post:

Alessandro Manzoni
Alessandro Manzoni
Alessandro Manzoni scrive per Italnews.info occupandosi di attualità, politica, economia, tecnologia, sport, intrattenimento e lifestyle. Si concentra su informazioni chiare e affidabili, offrendo ai lettori contenuti utili per comprendere i fatti e le notizie più rilevanti del momento.

Google ha recentemente fornito al suo Authenticator una funzionalità spesso richiesta per il backup o la sincronizzazione dei semi segreti da cui l’autenticatore genera password monouso. Tuttavia, i segreti sensibili non sono così sicuri come ci si aspetterebbe.

Con la nuova sincronizzazione, l’autenticazione può essere utilizzata su più dispositivi contemporaneamente, ad esempio su smartphone iOS e Android. E se un dispositivo viene perso, l’autenticazione può essere configurata con esso, ad esempio su un nuovo smartphone.

Tuttavia, dopo aver esaminato il traffico di rete, gli sviluppatori dell’app iOS chiamata Twitter Mysk hanno scoperto che l’app invia questi segreti a Google in testo semplice: la trasmissione di dati top secret è protetta tramite TLS, ma non end-to- FINE. crittografato (E2E). Questi dati possono quindi essere letti da Google, ad esempio.

heise Security è stata in grado di riprodurre il problema con la versione di Google Authenticator sotto Android 13 presente al momento della segnalazione. Il nostro segreto TOTP è andato a Google durante la sincronizzazione sul Web. Come uomo nel mezzo, siamo stati in grado di rintracciarlo nel flusso di dati utilizzando la codifica Base32. Era anche nelle impostazioni di Google Crittografia sul dispositivo Attivato, assicurando che Google Password Manager salvi solo le password protette E2E. Ci aspettavamo una sicurezza identica ai segreti TOTP.

La sicurezza può comprendere il problema: il seme segreto salta la riga in testo normale durante la sincronizzazione.

(immagine: screenshot/rei)

La crittografia E2E di segreti importanti come password e passkey è ora lo stato dell’arte. Ciò garantisce che solo l’utente stesso, e non il fornitore di servizi – o l’hacker con esso – abbia accesso a questi dati essenziali. Dopo aver esitato a lungo, anche Google se ne è reso conto e ha protetto le passkey con la protezione E2E. Anche Google Password Manager ora può farlo.

La base sincronizzata è il segreto utilizzato dall’autenticatore per calcolare il codice corrente per l’accesso sicuro a due fattori. Gli aggressori possono utilizzarlo per aggirare l’autenticazione a due fattori e ottenere l’accesso agli account da essa protetti, a condizione che dispongano già della password. Quindi un backup deve essere protetto in modo tale che solo gli utenti effettivi possano accedervi. La già citata crittografia E2E di password e passkey dimostra che Google può farlo.

Quindi attualmente non è consigliabile sincronizzare i segreti in Google Authenticator, Riassume Musk su Twitter. Nel caso attuale, Heise Security sconsiglia di utilizzare del tutto un autenticatore, in quanto non è possibile escludere un drenaggio di semi indesiderato, ad esempio se si attiva accidentalmente la sincronizzazione. Altre app come Authy offrono anche la sincronizzazione e il backup dei segreti TOTP, ma li proteggono solo con una password principale nota all’utente.

Chi ha già attivato il backup deve disattivarlo nuovamente e quindi reimpostare il seed a due fattori per tutti gli account gestiti con l’autenticatore. In questo modo è possibile ripristinare la riservatezza.

Google non ha ancora risposto alla domanda se la società vorrebbe confermare e correggere il comportamento di backup. Mysk ha già rilevato diverse app di autenticazione dannose nell’Apple Store e in Google Play alla fine di febbraio. A quel tempo, classificarono il problema come “furto di dati dannoso” o “programmato in modo improprio”.


(DMK)

alla pagina iniziale

Related articles

Disney+ rimuove Dolby Vision e contenuti 3D in Italia: funzionalità premium limitate per molti utenti europei

Nuova stretta sulle funzionalità avanzate della piattaforma streaming Disney+ ha nuovamente limitato alcune delle sue caratteristiche più avanzate in...

Crisi delle RAM: anche Apple valuta aumenti di prezzo, Tim Cook parla di situazione “insostenibile”

Dopo anni in cui è riuscita ad assorbire l’aumento dei costi dei componenti senza trasferirli ai consumatori, Apple...

Il governo italiano alle prese con il nodo della tassa sui pacchi extra UE

Dal 1° luglio rischio doppio prelievo sugli acquisti online provenienti da Paesi extraeuropei A poche settimane dall’entrata in vigore...

Tempesta solare “cannibale” verso la Terra: possibile aurora boreale visibile anche dall’Italia

Una nuova e intensa attività del Sole potrebbe regalare uno spettacolo raro anche nei cieli italiani. Nella notte...