Google Authenticator: nessuna crittografia con l'ultimo update, ma l'azienda rassicura

Google Authenticator è stato di recente protagonista di un aggiornamento, ma a quanto pare un gruppo di ricercatori sta mettendo in guardia gli utenti dal continuare a utilizzarlo.

La società di software Mysk ha pubblicato un corposo post su Twitter, al cui interno spiega perché in questo momento è sconsigliabile affidarsi al servizio di Google per la gestione dei codici d'accesso protetti.

L'aggiornamento di Authenticator ha recentemente introdotto un'opzione di sincronizzazione per i codici monouso, che consentirebbe agli utenti di memorizzarli nei propri account Google. Alla base della modifica c'è una necessità concreta, ossia quella di prevenire tutte quelle situazioni in cui un utente resta bloccato fuori dai propri account quando cambia smartphone, poiché i codici monouso erano stati precedentemente memorizzati sul dispositivo su cui era installata l'app. In effetti si tratta di una situazione in cui ci siamo più volte trovati e l'aggiornamento rema apparentemente nella giusta direzione, se non fosse per un dettaglio.

La società Mysk ha scoperto che il traffico di rete generato dall'app Authenticator non è crittografato end-to-end, pertanto i rischi che un malintenzionato acceda ai nostri codici potrebbe essere più alto del previsto.

Tecnologia 21 Apr

Android 21 Apr

Mysk ricorda inoltre che i codici QR 2FA hanno la capacità di contenere altre informazioni personali, come il nome dell'account e il nome del servizio a cui è destinato il codice. Sebbene non ci siano prove concrete, Google potrebbe utilizzare queste informazioni per arricchire gli annunci personalizzati nei suoi servizi e renderli ancora più pertinenti, tuttavia i rischi per gli utenti sarebbero molto alti. Poniamo il caso che Google subisca una violazione dei dati, allora in quel caso ci sarebbe il rischio che le nostre info siano alla mercè di chiunque.

Non è ovviamente mancata la risposta di Google, che tramite il suo product manager, Christiaan Brand, ha spiegato il perché della mancanza della crittografia dei codici in Authenticator, a sua volta con un Tweet. Brand spiega che, sebbene l'app non offra la protezione di sicurezza voluta, ci sono piani per offrire la crittografia in un secondo momento. Ecco un estratto di quanto riportato sulla pagina social.

"In questo momento, riteniamo che il nostro attuale prodotto raggiunga il giusto equilibrio per la maggior parte degli utenti e offra vantaggi significativi rispetto all'utilizzo offline. Inoltre, l'inclusione di una crittografia più forte come E2E potrebbe riaffiorare la possibilità che gli utenti vengano bloccati dai propri account".

Brand ha inoltre ribadito che la sincronizzazione dell'account di Google Authenticator è del tutto facoltativa. Ciò significa che, se gli utenti si sentono più sicuri utilizzando l'app in modalità offline, c'è ancora il pieno il controllo su come eseguire il backup delle proprie informazioni.