Bitcoin Forum
October 07, 2024, 08:34:51 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Google Authenticator app - pericolo di furto dei codici  (Read 403 times)
duesoldi (OP)
Legendary
*
Offline Offline

Activity: 2562
Merit: 2640


View Profile
February 28, 2020, 05:42:35 PM
Merited by fillippone (2)
 #1

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

vegas420
Member
**
Offline Offline

Activity: 82
Merit: 121


View Profile
February 28, 2020, 06:17:41 PM
 #2

l'unica pecca di Authy è di non essere opensource, per il resto è molto comoda.
Come 2fa opensource conosco andOTP ( https://github.com/andOTP/andOTP ), purtroppo è solo per Android. Per gli utenti iOS non credo ci siano alternative.

edit: ho letto dopo il link e viene menzionata anche lì
duesoldi (OP)
Legendary
*
Offline Offline

Activity: 2562
Merit: 2640


View Profile
February 28, 2020, 06:47:05 PM
 #3

sarra' risolto da Google trapoco

Hai un link a qualche notizia ufficiale? giusto per capire anche i tempi: se non fossero brevi sarebbe rischioso aspettare.

big_daddy
Hero Member
*****
Offline Offline

Activity: 1680
Merit: 583


xUSD - The PRIVATE stable coin - Haven Protocol


View Profile WWW
February 28, 2020, 10:38:17 PM
 #4

Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura

If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
duesoldi (OP)
Legendary
*
Offline Offline

Activity: 2562
Merit: 2640


View Profile
February 29, 2020, 06:10:16 PM
 #5

Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura

In questo caso sì.
Nel link che ho messo in OP si fa riferimento a quest'altro:
https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

che a sua volta punta a questo che spiega meglio il tutto:
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html

e in quest'ultimo viene detto:
Quote
Abusing the Accessibility privileges, the Trojan can now also steal 2FA codes from Google Authenticator application. When the app is running, the Trojan can get the content of the interface and can send it to the C2 server.

considerando che parla del trojan Cerberus che è stato lanciato nel giugno 2019, in questo caso è proprio il mancato aggiornamento dell'app il vero fattore di rischio.

big_daddy
Hero Member
*****
Offline Offline

Activity: 1680
Merit: 583


xUSD - The PRIVATE stable coin - Haven Protocol


View Profile WWW
February 29, 2020, 07:08:01 PM
 #6

Ok, visto
Il rischio é presente su piattaforme Android, quindi io sono sicuro, per ora  Cool

If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
jack0m
Legendary
*
Offline Offline

Activity: 3766
Merit: 2041


View Profile
February 29, 2020, 07:33:19 PM
 #7

per restare in tema di vulnerabilità nei dispositivi mobili:

https://www.cybersecurity360.it/nuove-minacce/kr00k-la-vulnerabilita-che-mette-a-rischio-intercettazione-miliardi-di-dispositivi-wi-fi-che-ce-da-sapere/

Money is a hoax. Debt is slavery. Consumerism is toxic.
creep_o
Hero Member
*****
Online Online

Activity: 912
Merit: 973



View Profile
March 01, 2020, 04:18:29 PM
 #8

Sfruttando il 2FA (e dando pure un’occhiata al pin) alcuni trojan bucano almeno 26 app di Exchanges e servizi wallet (come Binance, Coinbase, Xapo...)
https://it.cointelegraph.com/news/threat-alert-new-trojans-targeting-major-crypto-exchanges-apps-discovered

Poi certo, x installare certi trojan (come altri) in genere bisogna prima dimenticarsi le regole basi per non farsi inchiappettare navigando sul web 🙂
alexrossi
Legendary
*
Offline Offline

Activity: 3850
Merit: 1745


Join the world-leading crypto sportsbook NOW!


View Profile
March 01, 2020, 04:52:26 PM
 #9

Rispetto a SMS hijacking siamo ancora anni luce più tranquilli imho. Purtroppo c'è ancora la brutta abitudine di fidarsi troppo di servizi centralizzati e non minimizzare il rischio (non parlo di traders).

  ▄▄███████▄███████▄▄▄
 █████████████
▀▀▀▀▀▀████▄▄
███████████████
       ▀▀███▄
███████████████
          ▀███
 █████████████
             ███
███████████▀▀               ███
███                         ███
███                         ███
 ███                       ███
  ███▄                   ▄███
   ▀███▄▄             ▄▄███▀
     ▀▀████▄▄▄▄▄▄▄▄▄████▀▀
         ▀▀▀███████▀▀▀
░░░████▄▄▄▄
░▄▄░
▄▄███████▄▀█████▄▄
██▄████▌▐█▌█████▄██
████▀▄▄▄▌███░▄▄▄▀████
██████▄▄▄█▄▄▄██████
█░███████░▐█▌░███████░█
▀▀██▀░██░▐█▌░██░▀██▀▀
▄▄▄░█▀░█░██░▐█▌░██░█░▀█░▄▄▄
██▀░░░░▀██░▐█▌░██▀░░░░▀██
▀██
█████▄███▀▀██▀▀███▄███████▀
▀███████████████████████▀
▀▀▀▀███████████▀▀▀▀
█████████████LEADING CRYPTO SPORTSBOOK & CASINO█████████████
MULTI
CURRENCY
1500+
CASINO GAMES
CRYPTO EXCLUSIVE
CLUBHOUSE
FAST & SECURE
PAYMENTS
.
..PLAY NOW!..
Dernoste
Full Member
***
Offline Offline

Activity: 648
Merit: 135


View Profile
March 01, 2020, 06:49:29 PM
 #10

mi sono sempre chiesto quanto potessere essere sicuro google authenticator...
per questo l'ho installato in un vecchio telefono senza scheda sim ne wireless attivo,  voi vi fidate di google?
un buon motore di ricerca.niente più!
babo
Legendary
*
Offline Offline

Activity: 3752
Merit: 4453


The hacker spirit breaks any spell


View Profile WWW
March 24, 2020, 12:48:51 PM
Merited by duesoldi (1)
 #11

Mi ero perso questa discussione, a cui posso aggiungere alcune cose:
  • non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
  • switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti

█████████████████████████
██
█████▀▀███████▀▀███████
█████▀░░▄███████▄░░▀█████
██▀░░██████▀░▀████░░▀██
██▀░░▀▀▀████████████░░▀██
██░░█▄████▀▀███▀█████░░██
██░░███▄▄███████▀▀███░░██
██░░█████████████████░░██
██▄░░████▄▄██████▄▄█░░▄██
██▄░░██████▄░░████░░▄██
█████▄░░▀███▌░░▐▀░░▄█████
███████▄▄███████▄▄███████
█████████████████████████
.
.ROOBET 2.0..██████.IIIIIFASTER & SLEEKER.██████.
|

█▄█
▀█▀
████▄▄██████▄▄████
█▄███▀█░░█████░░█▀███▄█
▀█▄▄░▐█████████▌▄▄█▀
██▄▄█████████▄▄████▌
██████▄▄████████
█▀▀████████████████
██████
█████████████
██
█▀▀██████████████
▀▀▀███████████▀▀▀▀
|.
    PLAY NOW    
vegas420
Member
**
Offline Offline

Activity: 82
Merit: 121


View Profile
March 24, 2020, 01:16:16 PM
 #12

Mi ero perso questa discussione, a cui posso aggiungere alcune cose:
  • non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
  • switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti

Ho più volte sentito parlare di yubikey e ritengo che un hardware password manager sia la soluzione più efficace e anche piuttosto comodo. Tu la utilizzi?
In tal caso vorrei farti due domande:
1) Mi sembra di capire che al momento solo alcuni siti/servizi consentono l'utilizzo di yubikey (https://www.yubico.com/works-with-yubikey/catalog/), dunque se non presente in questa lista non potrei utilizzare la yubikey. Confermi?
2) Nel caso di smarrimento/furto/danneggiamento vi è qualche tipo di protezione/backup?
babo
Legendary
*
Offline Offline

Activity: 3752
Merit: 4453


The hacker spirit breaks any spell


View Profile WWW
March 24, 2020, 01:53:26 PM
 #13

1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)

█████████████████████████
██
█████▀▀███████▀▀███████
█████▀░░▄███████▄░░▀█████
██▀░░██████▀░▀████░░▀██
██▀░░▀▀▀████████████░░▀██
██░░█▄████▀▀███▀█████░░██
██░░███▄▄███████▀▀███░░██
██░░█████████████████░░██
██▄░░████▄▄██████▄▄█░░▄██
██▄░░██████▄░░████░░▄██
█████▄░░▀███▌░░▐▀░░▄█████
███████▄▄███████▄▄███████
█████████████████████████
.
.ROOBET 2.0..██████.IIIIIFASTER & SLEEKER.██████.
|

█▄█
▀█▀
████▄▄██████▄▄████
█▄███▀█░░█████░░█▀███▄█
▀█▄▄░▐█████████▌▄▄█▀
██▄▄█████████▄▄████▌
██████▄▄████████
█▀▀████████████████
██████
█████████████
██
█▀▀██████████████
▀▀▀███████████▀▀▀▀
|.
    PLAY NOW    
bitcoin-shark
Hero Member
*****
Offline Offline

Activity: 2982
Merit: 605



View Profile
March 24, 2020, 07:46:25 PM
 #14

non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...

babo
Legendary
*
Offline Offline

Activity: 3752
Merit: 4453


The hacker spirit breaks any spell


View Profile WWW
March 25, 2020, 09:10:06 AM
 #15

non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...

se binance lo supporta si

devi guardare che tipo di 2fa supportano.. ad esempio kraken supporta yubi

se non lo supporta non puoi usarlo ma puoi chiedere che lo implementino

tanto davvero, implementarlo e' davvero una cagata mostruosa.. questione di volerlo

█████████████████████████
██
█████▀▀███████▀▀███████
█████▀░░▄███████▄░░▀█████
██▀░░██████▀░▀████░░▀██
██▀░░▀▀▀████████████░░▀██
██░░█▄████▀▀███▀█████░░██
██░░███▄▄███████▀▀███░░██
██░░█████████████████░░██
██▄░░████▄▄██████▄▄█░░▄██
██▄░░██████▄░░████░░▄██
█████▄░░▀███▌░░▐▀░░▄█████
███████▄▄███████▄▄███████
█████████████████████████
.
.ROOBET 2.0..██████.IIIIIFASTER & SLEEKER.██████.
|

█▄█
▀█▀
████▄▄██████▄▄████
█▄███▀█░░█████░░█▀███▄█
▀█▄▄░▐█████████▌▄▄█▀
██▄▄█████████▄▄████▌
██████▄▄████████
█▀▀████████████████
██████
█████████████
██
█▀▀██████████████
▀▀▀███████████▀▀▀▀
|.
    PLAY NOW    
vegas420
Member
**
Offline Offline

Activity: 82
Merit: 121


View Profile
March 25, 2020, 12:26:54 PM
 #16

1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)

Speravo in qualche procedura di recupero in stile seed. Grazie per le risposte
Un ulteriore domanda: nel caso volessi utilizzare la yubikey sia su pc che su smartphone, dovrei utilizzarne due differenti giusto? tra i prodotti non non mi sembra di vedere una yubikey che abbia sia USB che type-c. (in alternativa si potrebbe usare un adattatore USB/typeC
mr.robot8
Full Member
***
Offline Offline

Activity: 938
Merit: 159


View Profile WWW
March 26, 2020, 04:30:44 PM
 #17

pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
vegas420
Member
**
Offline Offline

Activity: 82
Merit: 121


View Profile
March 26, 2020, 07:48:44 PM
 #18

pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa

Gli sms non sono sicuri, basta un SIM swapping (https://en.wikipedia.org/wiki/SIM_swap_scam) e il 2fa va a farsi benedire.

L'account email invece come lo proteggi?  Wink
lukax8
Sr. Member
****
Offline Offline

Activity: 1554
Merit: 297


View Profile WWW
May 19, 2020, 09:04:12 PM
 #19

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....


Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  Grin )

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:
Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?





duesoldi (OP)
Legendary
*
Offline Offline

Activity: 2562
Merit: 2640


View Profile
May 19, 2020, 10:00:34 PM
 #20

Eccolo sto maledetto thread!
Avevo letto di questo aggiornamento un paio di settimane fa su hwupgrade:

https://www.hwupgrade.it/news/telefonia/google-authenticator-si-aggiorna-dopo-anni-dall-ultimo-update-ecco-cosa-cambia_89189.html

ma non sono riuscito a rintracciare questo thread per linkare l'articolo, nonostante una ricerca su google ristretta a questo sito: mannaggia a me!  Cheesy
Grazie per averlo riesumato....


Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?


Dire che in generale non si debba mai usare un sistema per 2FA come questo sullo stesso cell nel quale hai magari un wallet sw. Bisogna usarlo come sistema per accedere a siti con browser da pc o strumenti terzi.
Le solite attenzioni insomma.
Buon segno comunque il fatto che finalmente si siano decisi ad aggiornarlo.

Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!