Google Authenticator ha recentemente introdotto un update di sincronizzazione dei codici monouso sui propri account Google, al fine di prevenire il blocco degli utenti dai propri account in caso di cambio di smartphone.
Tuttavia, la società di software Mysk sta avvertendo gli utenti di non affidarsi più all’app per la gestione dei codici d’accesso protetti. Ma perchè? Vediamolo nelle prossime righe.
Google Authenticator non ha più la crittografia
Mysk ha scoperto che il traffico di rete generato dall’app Authenticator non è crittografato end-to-end, aumentando il rischio che i codici monouso possano essere compromessi da un malintenzionato. Nonostante l’aggiornamento sembri rispondere a una necessità pratica, i rischi associati all’uso di Authenticator potrebbero superare i benefici.
La compagnia ha sottolineato che i codici QR 2FA possono contenere informazioni personali come il nome dell’account e del servizio. Nonostante non ci siano prove che Google utilizzi queste informazioni per arricchire gli annunci personalizzati, i rischi per la privacy degli utenti sarebbero elevati. In caso di violazione dei dati, le informazioni personali potrebbero essere esposte a terze parti.
Google ha risposto alle preoccupazioni dei suoi utenti tramite un tweet del product manager Christiaan Brand. Brand ha spiegato che, nonostante la mancanza di crittografia dei codici in Authenticator, ci sono piani per offrire la protezione di sicurezza in futuro.
Ecco le sue parole: “In questo momento, riteniamo che il nostro attuale prodotto raggiunga il giusto equilibrio per la maggior parte degli utenti e offra vantaggi significativi rispetto all’utilizzo offline. Inoltre, l’inclusione di una crittografia più forte come E2E potrebbe riaffiorare la possibilità che gli utenti vengano bloccati dai propri account“.
Brand ha anche sottolineato che la sincronizzazione dell’account di Google Authenticator è completamente opzionale. Gli utenti hanno quindi il controllo completo su come eseguire il backup delle proprie informazioni e possono scegliere di utilizzare l’app in modalità offline se si sentono più sicuri.
