ApprofondimentiRecensioniSicurezza

Le app alternative a Google Authenticator, ora che non è più sicuro

Di GugliElmo

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Non è passata che una settimana dalla pubblicazione del report di Threat Factory che un’altra notizia, dai toni fatalistici e riguardante Google Authenticator, è emersa online: stando ai ricercatori, l’app per l’autenticazione a due fattori sarebbe suscettibile agli screenshot da parte di altre applicazioni, vanificando dunque il proposito di sicurezza per il quale è stata sviluppata. Per questi motivi, è chiaro che Google Authenticator non sia più la soluzione ideale per l’implementazione dell’autenticazione a due fattori: in questo articolo vedremo non solo i motivi per non usare più Google Authenticatorperlomeno, fino alla pubblicazione di una patch di sicurezza – ma anche le alternative più funzionali.

Siete pronti per scoprirle?

DUE VULNERABILITÀ IN POCHI GIORNI

Google Authenticator è una Google App: normalmente una tale parentela dovrebbe essere sufficiente condizione di garanzia perché grafica, funzioni e sicurezzai tre fondamentali che di solito un utente si aspetta che siano sempre aggiornati – non debbano mai soffrire le pieghe del tempo. Si tratta tuttavia di un’aspettativa troppo alta per un’app di secondo piano: a differenza di Google Maps, GMail o Google Photos, Google Authenticator non gode delle medesime attenzioni riservate agli altri membri della famiglia digitale della casa di Mountain View. Per questo ed altri motivi, l’app non riceve un aggiornamento dal 2017: tempo sufficiente per diventare la vittima di attacchi mirati da parte di sviluppatori di malware.

All’evoluzione delle tecnologie, corrisponde anche uno sviluppo delle tecniche di contagio informatico: la sicurezza è infatti un business con due entrate opposte, e c’è sempre molta fila davanti ad entrambe le porte. Non c’è dunque da sorprendersi se, nell’arco di una sola settimana, ben due gravi vulnerabilità hanno colpito l’applicazione – tanto da spingerci a consigliare l’utilizzo di altre soluzioni per l’uso dell’autenticazione a due fattori.

Google Authenticator non è più sicuro, a causa di due vulnerabilità

Un termine molto lungo per una modalità relativamente semplice di protezione dei dati: l’autenticazione a due fattori, chiamata anche 2FA, viene utilizzata per aumentare la sicurezza degli account digitali. Essa non sostituisce la tradizionale password, anzi: una volta implementata la 2FA, alla digitazione delle proprie credenziali di accesso sarà necessario inserire anche un codice generato casualmente dal servizio di autenticazione al quale deciderete di affidarvi. Google Authenticator è tra questi servizi, e deve la sua diffusione principalmente alla risonanza del primo dei suoi due nomi: oltre dieci milioni di download su Google Play, a cui corrispondono una media di quattro stelle di valutazione.

NOTA BENE: se volete scoprirne di più sull’autenticazione a due fattori, su come funziona e come potete utilizzarla per aumentare la sicurezza dei vostri account online, potete LEGGERE QUI la nostra guida in proposito!

Questo nome è stato però infangato appunto dalla notizia di due vulnerabilità a cui l’app è soggetta: la prima è stata riportata dal laboratorio d’analisi Threat Factory, ed è riferita ad un virus capace di penetrarne con facilità le difese. Il malware, denominato Cerberus, appartiene alla categoria dei RAT: acronimo per Remote-Access-Trojan, il suo ciclo vitale consiste in una serie di attacchi miranti all’installazione nel device della vittima, a cui segue l’assegnazione di permessi vitali per la sicurezza del telefono e per questo estorti con l’inganno all’utente. Dopo che Cerberus ha preso controllo dello smartphone, riesce conseguentemente a derubare il malcapitato delle sue credenziali d’accesso alle app delle banche, così come i codici 2FA generati da Google Authenticator, se presente nel telefono. Per saperne di più, potete LEGGERE QUI il nostro reportage completo della minaccia.

La seconda macchia sul curriculum dell’applicazione è data invece da una vulnerabilità vera e propria, tanto pericolosa quanto banale. Sapete infatti che è possibile scattare screenshot all’interno di Google Authenticator? Un’abitudine davvero spiacevole, di cui potrebbero approfittare tutte quelle app che dispongono dei permessi necessari per catturare la schermata del telefono grazie alle MediaProjection API di Android. Normalmente, le applicazioni che contengono dati sensibili (ma anche protetti da copyright, come Netflix) hanno attivato l’impostazione “FLAG_SECURE” la quale tratta ogni loro schermata come “privata, e pertanto ogni screenshot o registrazione dello schermo verrà oscurata.

I ricercatori di Nightwatch Cybersecurity, che hanno diffuso la notizia della vulnerabilità, non sono tuttavia i suoi originari scopritori. Stando anzi alle loro stesse parole, diffuse in un post nel loro blog ufficiale, la problematica emerse già nel 2014, quando un anonimo sviluppatore ne segnalò l’esistenza nella pagina relativa a Google Authenticator su GitHub, piattaforma nel quale viene ospitato il codice dell’applicazione. Tre anni dopo, nel 2017, Nightwatch Cybersecurity inoltrò un promemoria a Google, sollecitandola ad intervenire – ma, evidentemente, da allora nulla è cambiato.

Va detto inoltre che non si tratta di un difetto isolato: anche i codici di Microsoft Authenticator, app che svolge il medesimo servizio, sono suscettibili agli screenshot di altre applicazioni. Quali sono dunque le alternative a queste due applicazioni?

LE ALTERNATIVE A GOOGLE AUTHENTICATOR

Google Authenticator non è più la scelta ideale per l’implementazione della modalità a due fattori: per questo motivo riteniamo sia necessario prendere in considerazione delle opzioni alternative (e migliori) all’app di Google. Ne abbiamo raccolte alcune, che vi proponiamo di seguito:

  • Authy: applicazione completa sotto molti aspetti, Authy è tra le migliori alternative a Google Authenticator e tra le più utilizzate nel campo dell’autenticazione a due fattori. Oltre a disporre di client per le principali piattaforme mobili e fisse, consente di salvare i propri codici all’interno di un backup protetto ed esportabile, così da non dover ripetere il collegamento ai servizi autenticati ad ogni cambio di smartphone.
  • andOTP: app per l’autenticazione a due fattori completamente open-source, andOTP offre all’interno di una grafica in material designpiatta, per quanto efficace – una suite completa per la gestione dei codici temporanei su Android. Oltre ad un complesso sistema di backup, estremamente personalizzabile grazie alle numerose impostazioni dedicate, andOTP offre funzioni esclusive o difficilmente rintracciabili altrove – come un “Panic trigger“, capace di cancellare tutti i dati sincronizzati con l’applicazione, o la possibilità di mettere l’app automaticamente in secondo piano dopo aver copiato il codice OTP. Sfortunatamente, non dispone di un client desktop.
  • Aegis Authenticator: applicazione open-source, per quanto graficamente simile ad andOTP riteniamo disponga di un’interfaccia più elegante, grazie all’uso del blu nella definizione del material design dell’UI. Aegis Authenticator possiede anch’esso funzioni particolari che lo distinguono dalla concorrenza: la possibilità di nascondere i codici alla vista, di supportare l’utilizzo contemporaneo della scansione biometrica e dei codici alfanumerici e di esportare i backup crittografati o meno. Tuttavia, non dispone di un client desktop; va poi notato che è in corso una piccola scaramuccia tra gli sviluppatori di Aegis e andOTP: i primi accusano infatti i secondi di aver tralasciato di risolvere dei non meglio specificati problemi di sicurezza all’interno del codice della loro app.
  • LastPass Authenticator: l’ultima alternativa a Google Authenticator è LastPass Authenticator, che si pone in diretta competizione proprio con l’app di Google – lo si legge già nel tutorial dell’applicazione. Non c’è davvero un valido motivo per usare quest’app per l’autenticazione a due fattori, data l’assenza di molte feature presenti nelle altre app, se non quella di essere già clienti LastPass – in quel caso, sarà estremamente comoda.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

GugliElmo

"Blogger per passione, studente per necessità": questa è la mia carta d'identità online da sempre, anche se certe cose, col tempo, sono cambiate. Classe '95, esperto di Android e tecnologia mobile, laureato in Relazioni Internazionali, oggi frequento il master in Editoria Cartacea e Digitale (entrambi presso l'Università di Bologna); gestisco AppElmo.com dal 2013, da quando, da semplice blog, è evoluto nel web magazine che è oggi.
Potete venirmi a trovare nel mio canale Telegram, oppure scrivermi una mail a [email protected].

Potrebbe piacerti anche Dallo stesso autore
Commenti
Potrebbe interessarti anche...

TV box Android: a cosa servono, quali scegliere (e quali no)…

Juice jacking: perché è meglio evitare le stazioni di…

Cancellare un account di social o piattaforme sarà…

1 di 164
//