Google Authenticator app - pericolo di furto dei codici

LordStapy

member

Activity: 110

Merit: 94

A mio avviso l'aggiornamento lo rende meno sicuro.
Perché? Per lo stesso motivo per cui considero authy insicuro, la possibilità di fare il backup!

Questa sottospecie di analisi riguarda esclusivamente la componente "mondo reale".
Immaginiamo un utente standard con un solo smartphone, no permessi di root e backup dei seed fatti al momento dell'attivazione del 2FA.

Se il seed non può essere estratto l'utente ha la (quasi) certezza di avere un 2FA non compromesso, nel momento in cui smarrisce lo smartphone o subisce un furto tutti i codici sono da considerare compromessi, a quel punto l'utente prende i suoi backup, si collega ai vari servizi e reimposta 2FA.
L'unico modo che un attaccante ha di impossessarsi dei codici 2FA (seed o OTP) è impossessarsi del dispositivo, ma a quel punto l'utente se ne accorge e può proteggersi.
Attacco:

inserire il codice 2FA di fronte alla vittima
rubare il dispositivo

Difesa:

no root (permette l'accesso diretto al db contenente i seed)
possedere il dispositivo

Ora passiamo all'altro scenario, l'utente non ha modo di "verificare" che i suoi seed 2FA siano ancora sicuri perché ad un attaccante basterebbe impossessarsi del dispositivo solo per il tempo necessario a effettuare il backup.
Attacco:

tutte le precedenti
"posso fare una telefonata" e backup

Difesa:

nessuna delle precedenti
non lasciare mai il dispositivo a terzi

Riassumendo, la funzione backup rimuove uno strato di sicurezza e aggiunge un vettore di attacco.

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: big_daddy on May 20, 2020, 06:09:09 AM

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa

Fallo però nel caso in cui questo smartphone di riserva sia stato nel frattempo aggiornato con patch di sicurezza perché se fosse vecchio vecchio e quindi probabilmente non più aggiornato rischieresti che possano esserci serie vulnerabilità.
Il metodo più sicuro per conservare le chiavi dei sistemi 2FA secondo me resta quello di farsi una copia del codice iniziale e conservarlo offline da qualche parte al sicuro.

big_daddy

hero member

Activity: 1652

Merit: 583

xUSD - The PRIVATE stable coin - Haven Protocol

Quote from: lukax8 on May 19, 2020, 05:04:12 PM

Quote from: duesoldi on February 28, 2020, 01:42:35 PM

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque Grin

)

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:

Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa

Lillominato89

hero member

Activity: 770

Merit: 835

Che si siano decisi ad aggiornarla è un bene, mi aspettavo di più sinceramente, qualche accorgimento sulla sicurezza non sarebbe guastato, o forse non ne parlano sul link che hai mandato. cercherò sul web

duesoldi

legendary

Activity: 2562

Merit: 2640

Eccolo sto maledetto thread!
Avevo letto di questo aggiornamento un paio di settimane fa su hwupgrade:

https://www.hwupgrade.it/news/telefonia/google-authenticator-si-aggiorna-dopo-anni-dall-ultimo-update-ecco-cosa-cambia_89189.html

ma non sono riuscito a rintracciare questo thread per linkare l'articolo, nonostante una ricerca su google ristretta a questo sito: mannaggia a me! Cheesy

Grazie per averlo riesumato....

Quote from: lukax8 on May 19, 2020, 05:04:12 PM

Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

Dire che in generale non si debba mai usare un sistema per 2FA come questo sullo stesso cell nel quale hai magari un wallet sw. Bisogna usarlo come sistema per accedere a siti con browser da pc o strumenti terzi.
Le solite attenzioni insomma.
Buon segno comunque il fatto che finalmente si siano decisi ad aggiornarlo.

lukax8

sr. member

Activity: 1554

Merit: 297

Quote from: duesoldi on February 28, 2020, 01:42:35 PM

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque Grin

)

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:

Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

vegas420

member

Activity: 82

Merit: 121

Quote from: mr.robot8 on March 26, 2020, 12:30:44 PM

pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa

Gli sms non sono sicuri, basta un SIM swapping (https://en.wikipedia.org/wiki/SIM_swap_scam) e il 2fa va a farsi benedire.

L'account email invece come lo proteggi? Wink

mr.robot8

full member

Activity: 938

Merit: 159

pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa

vegas420

member

Activity: 82

Merit: 121

Quote from: babo on March 24, 2020, 09:53:26 AM

1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)

Speravo in qualche procedura di recupero in stile seed. Grazie per le risposte
Un ulteriore domanda: nel caso volessi utilizzare la yubikey sia su pc che su smartphone, dovrei utilizzarne due differenti giusto? tra i prodotti non non mi sembra di vedere una yubikey che abbia sia USB che type-c. (in alternativa si potrebbe usare un adattatore USB/typeC

babo

legendary

Activity: 3528

Merit: 4042

Quote from: bitcoin-shark on March 24, 2020, 03:46:25 PM

non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...

se binance lo supporta si

devi guardare che tipo di 2fa supportano.. ad esempio kraken supporta yubi

se non lo supporta non puoi usarlo ma puoi chiedere che lo implementino

tanto davvero, implementarlo e' davvero una cagata mostruosa.. questione di volerlo

bitcoin-shark

hero member

Activity: 2842

Merit: 605

non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...

babo

legendary

Activity: 3528

Merit: 4042

1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)

vegas420

member

Activity: 82

Merit: 121

Quote from: babo on March 24, 2020, 08:48:51 AM

Mi ero perso questa discussione, a cui posso aggiungere alcune cose:

non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti

Ho più volte sentito parlare di yubikey e ritengo che un hardware password manager sia la soluzione più efficace e anche piuttosto comodo. Tu la utilizzi?
In tal caso vorrei farti due domande:
1) Mi sembra di capire che al momento solo alcuni siti/servizi consentono l'utilizzo di yubikey (https://www.yubico.com/works-with-yubikey/catalog/), dunque se non presente in questa lista non potrei utilizzare la yubikey. Confermi?
2) Nel caso di smarrimento/furto/danneggiamento vi è qualche tipo di protezione/backup?

babo

legendary

Activity: 3528

Merit: 4042

Mi ero perso questa discussione, a cui posso aggiungere alcune cose:

non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti

Dernoste

full member

Activity: 633

Merit: 135

mi sono sempre chiesto quanto potessere essere sicuro google authenticator...
per questo l'ho installato in un vecchio telefono senza scheda sim ne wireless attivo, voi vi fidate di google?
un buon motore di ricerca.niente più!

alexrossi

legendary

Activity: 3724

Merit: 1739

Join the world-leading crypto sportsbook NOW!

Rispetto a SMS hijacking siamo ancora anni luce più tranquilli imho. Purtroppo c'è ancora la brutta abitudine di fidarsi troppo di servizi centralizzati e non minimizzare il rischio (non parlo di traders).

creep_o

hero member

Activity: 876

Merit: 940

Sfruttando il 2FA (e dando pure un’occhiata al pin) alcuni trojan bucano almeno 26 app di Exchanges e servizi wallet (come Binance, Coinbase, Xapo...)
https://it.cointelegraph.com/news/threat-alert-new-trojans-targeting-major-crypto-exchanges-apps-discovered

Poi certo, x installare certi trojan (come altri) in genere bisogna prima dimenticarsi le regole basi per non farsi inchiappettare navigando sul web 🙂

jack0m

legendary

Activity: 3570

Merit: 1985

per restare in tema di vulnerabilità nei dispositivi mobili:

https://www.cybersecurity360.it/nuove-minacce/kr00k-la-vulnerabilita-che-mette-a-rischio-intercettazione-miliardi-di-dispositivi-wi-fi-che-ce-da-sapere/

big_daddy

hero member

Activity: 1652

Merit: 583

xUSD - The PRIVATE stable coin - Haven Protocol

Ok, visto
Il rischio é presente su piattaforme Android, quindi io sono sicuro, per ora Cool

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: big_daddy on February 28, 2020, 06:38:17 PM

Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura

In questo caso sì.
Nel link che ho messo in OP si fa riferimento a quest'altro:
https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

che a sua volta punta a questo che spiega meglio il tutto:
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html

e in quest'ultimo viene detto:

Quote

Abusing the Accessibility privileges, the Trojan can now also steal 2FA codes from Google Authenticator application. When the app is running, the Trojan can get the content of the interface and can send it to the C2 server.

considerando che parla del trojan Cerberus che è stato lanciato nel giugno 2019, in questo caso è proprio il mancato aggiornamento dell'app il vero fattore di rischio.

big_daddy

hero member

Activity: 1652

Merit: 583

xUSD - The PRIVATE stable coin - Haven Protocol

Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: ?? on ??

sarra' risolto da Google trapoco

Hai un link a qualche notizia ufficiale? giusto per capire anche i tempi: se non fossero brevi sarebbe rischioso aspettare.

vegas420

member

Activity: 82

Merit: 121

l'unica pecca di Authy è di non essere opensource, per il resto è molto comoda.
Come 2fa opensource conosco andOTP ( https://github.com/andOTP/andOTP ), purtroppo è solo per Android. Per gli utenti iOS non credo ci siano alternative.

edit: ho letto dopo il link e viene menzionata anche lì

duesoldi

legendary

Activity: 2562

Merit: 2640

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

Topic: Google Authenticator app - pericolo di furto dei codici (Read 369 times)