Google Authenticator app - pericolo di furto dei codici

[Lillominato89]

Che si siano decisi ad aggiornarla è un bene, mi aspettavo di più sinceramente, qualche accorgimento sulla sicurezza non sarebbe guastato, o forse non ne parlano sul link che hai mandato. cercherò sul web

[big_daddy]

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  )

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:

Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa

[duesoldi]

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa

Fallo però nel caso in cui questo smartphone di riserva sia stato nel frattempo aggiornato con patch di sicurezza perché se fosse vecchio vecchio e quindi probabilmente non più aggiornato rischieresti che possano esserci serie vulnerabilità.
Il metodo più sicuro per conservare le chiavi dei sistemi 2FA secondo me resta quello di farsi una copia del codice iniziale e conservarlo offline da qualche parte al sicuro.

[LordStapy]

A mio avviso l'aggiornamento lo rende meno sicuro.
Perché? Per lo stesso motivo per cui considero authy insicuro, la possibilità di fare il backup!

Questa sottospecie di analisi riguarda esclusivamente la componente "mondo reale".
Immaginiamo un utente standard con un solo smartphone, no permessi di root e backup dei seed fatti al momento dell'attivazione del 2FA.

Se il seed non può essere estratto l'utente ha la (quasi) certezza di avere un 2FA non compromesso, nel momento in cui smarrisce lo smartphone o subisce un furto tutti i codici sono da considerare compromessi, a quel punto l'utente prende i suoi backup, si collega ai vari servizi e reimposta 2FA.
L'unico modo che un attaccante ha di impossessarsi dei codici 2FA (seed o OTP) è impossessarsi del dispositivo, ma a quel punto l'utente se ne accorge e può proteggersi.
Attacco:

• inserire il codice 2FA di fronte alla vittima
• rubare il dispositivo

Difesa:

• no root (permette l'accesso diretto al db contenente i seed)
• possedere il dispositivo

Ora passiamo all'altro scenario, l'utente non ha modo di "verificare" che i suoi seed 2FA siano ancora sicuri perché ad un attaccante basterebbe impossessarsi del dispositivo solo per il tempo necessario a effettuare il backup.
Attacco:

• tutte le precedenti
• "posso fare una telefonata" e backup

Difesa:

• nessuna delle precedenti
• non lasciare mai il dispositivo a terzi

Riassumendo, la funzione backup rimuove uno strato di sicurezza e aggiunge un vettore di attacco.