La funzione di backup su cloud di Google Authenticator solleva preoccupazioni sulla sicurezza dei dati personali e dei codici di verifica a due fattori.
Google ha recentemente implementato una nuova funzionalità nella sua app Authenticator, che consente di eseguire il backup dei codici a due fattori (2FA) nel cloud. La nuova funzione sincronizza i token 2FA tra i dispositivi attraverso l’account Google, risolvendo un grosso inconveniente della precedente implementazione dell’autenticazione a due fattori. Tuttavia, la scoperta di una mancanza nel supporto crittografato end-to-end (E2EE) del backup nel cloud ha creato preoccupazioni sulla sicurezza dei dati dell’utente.
I ricercatori della società di software Mysk hanno scoperto che i dati memorizzati nell’app, come i codici 2FA, possono essere accessibili a malintenzionati o a Google stessa, poiché non esiste un’opzione per proteggere i segreti con un codice di accesso per limitare l’accesso al solo utente. Un malintenzionato che acceda all’account Google dell’utente può accedere alle sue credenziali 2FA e utilizzarle per dirottare altri account appartenenti all’utente.
Sebbene gli utenti non siano obbligati ad abilitare la funzione di backup su cloud, Google ha riconosciuto la mancanza di E2EE nell’app e ha promesso di risolvere il problema in futuro. Christiaan Brand, product manager di Google, ha spiegato in un tweet che l’E2EE è una funzione potente che fornisce ulteriori protezioni, ma ha un costo: consente agli utenti di rimanere bloccati dai propri dati senza possibilità di recupero.
Intanto, i ricercatori di sicurezza consigliano agli utenti di non abilitare la possibilità di sincronizzare i codici 2FA tra i dispositivi e il cloud e di utilizzare, invece, applicazioni come Authy e Bitwarden che offrono la crittografia E2EE.
La funzione 2FA basata sul cloud risolve una seccatura di lunga data per gli utenti di Authenticator, consentendo loro di memorizzare i loro codici nel cloud utilizzando l’account Google. In tal modo, anche in caso di smarrimento del dispositivo o di passaggio a un nuovo telefono, è possibile accedere ai propri token 2FA utilizzando un dispositivo di backup. Tuttavia, è fondamentale che il backup su cloud sia sicuro e protetto, soprattutto quando si tratta di dati sensibili come le credenziali 2FA dei propri account online.
