Author

Topic: Google Authenticator app - pericolo di furto dei codici (Read 420 times)

member
Activity: 110
Merit: 94
A mio avviso l'aggiornamento lo rende meno sicuro.
Perché? Per lo stesso motivo per cui considero authy insicuro, la possibilità di fare il backup!

Questa sottospecie di analisi riguarda esclusivamente la componente "mondo reale".
Immaginiamo un utente standard con un solo smartphone, no permessi di root e backup dei seed fatti al momento dell'attivazione del 2FA.

Se il seed non può essere estratto l'utente ha la (quasi) certezza di avere un 2FA non compromesso, nel momento in cui smarrisce lo smartphone o subisce un furto tutti i codici sono da considerare compromessi, a quel punto l'utente prende i suoi backup, si collega ai vari servizi e reimposta 2FA.
L'unico modo che un attaccante ha di impossessarsi dei codici 2FA (seed o OTP) è impossessarsi del dispositivo, ma a quel punto l'utente se ne accorge e può proteggersi.
Attacco:
  • inserire il codice 2FA di fronte alla vittima
  • rubare il dispositivo
Difesa:
  • no root (permette l'accesso diretto al db contenente i seed)
  • possedere il dispositivo

Ora passiamo all'altro scenario, l'utente non ha modo di "verificare" che i suoi seed 2FA siano ancora sicuri perché ad un attaccante basterebbe impossessarsi del dispositivo solo per il tempo necessario a effettuare il backup.
Attacco:
  • tutte le precedenti
  • "posso fare una telefonata" e backup
Difesa:
  • nessuna delle precedenti
  • non lasciare mai il dispositivo a terzi

Riassumendo, la funzione backup rimuove uno strato di sicurezza e aggiunge un vettore di attacco.
legendary
Activity: 2562
Merit: 2640
Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa Smiley

Fallo però nel caso in cui questo smartphone di riserva sia stato nel frattempo aggiornato con patch di sicurezza perché se fosse vecchio vecchio e quindi probabilmente non più aggiornato rischieresti che possano esserci serie vulnerabilità.
Il metodo più sicuro per conservare le chiavi dei sistemi 2FA secondo me resta quello di farsi una copia del codice iniziale e conservarlo offline da qualche parte al sicuro.



hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....


Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  Grin )

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:
Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa Smiley
hero member
Activity: 882
Merit: 860
Che si siano decisi ad aggiornarla è un bene, mi aspettavo di più sinceramente, qualche accorgimento sulla sicurezza non sarebbe guastato, o forse non ne parlano sul link che hai mandato. cercherò sul web
legendary
Activity: 2562
Merit: 2640
Eccolo sto maledetto thread!
Avevo letto di questo aggiornamento un paio di settimane fa su hwupgrade:

https://www.hwupgrade.it/news/telefonia/google-authenticator-si-aggiorna-dopo-anni-dall-ultimo-update-ecco-cosa-cambia_89189.html

ma non sono riuscito a rintracciare questo thread per linkare l'articolo, nonostante una ricerca su google ristretta a questo sito: mannaggia a me!  Cheesy
Grazie per averlo riesumato....


Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?


Dire che in generale non si debba mai usare un sistema per 2FA come questo sullo stesso cell nel quale hai magari un wallet sw. Bisogna usarlo come sistema per accedere a siti con browser da pc o strumenti terzi.
Le solite attenzioni insomma.
Buon segno comunque il fatto che finalmente si siano decisi ad aggiornarlo.

sr. member
Activity: 1554
Merit: 297
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....


Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  Grin )

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:
Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?




member
Activity: 82
Merit: 121
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa

Gli sms non sono sicuri, basta un SIM swapping (https://en.wikipedia.org/wiki/SIM_swap_scam) e il 2fa va a farsi benedire.

L'account email invece come lo proteggi?  Wink
full member
Activity: 938
Merit: 159
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
member
Activity: 82
Merit: 121
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)

Speravo in qualche procedura di recupero in stile seed. Grazie per le risposte
Un ulteriore domanda: nel caso volessi utilizzare la yubikey sia su pc che su smartphone, dovrei utilizzarne due differenti giusto? tra i prodotti non non mi sembra di vedere una yubikey che abbia sia USB che type-c. (in alternativa si potrebbe usare un adattatore USB/typeC
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...

se binance lo supporta si

devi guardare che tipo di 2fa supportano.. ad esempio kraken supporta yubi

se non lo supporta non puoi usarlo ma puoi chiedere che lo implementino

tanto davvero, implementarlo e' davvero una cagata mostruosa.. questione di volerlo
hero member
Activity: 2968
Merit: 605
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte

spiegato nel mio corso (che ti consiglio)
member
Activity: 82
Merit: 121
Mi ero perso questa discussione, a cui posso aggiungere alcune cose:
  • non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
  • switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti

Ho più volte sentito parlare di yubikey e ritengo che un hardware password manager sia la soluzione più efficace e anche piuttosto comodo. Tu la utilizzi?
In tal caso vorrei farti due domande:
1) Mi sembra di capire che al momento solo alcuni siti/servizi consentono l'utilizzo di yubikey (https://www.yubico.com/works-with-yubikey/catalog/), dunque se non presente in questa lista non potrei utilizzare la yubikey. Confermi?
2) Nel caso di smarrimento/furto/danneggiamento vi è qualche tipo di protezione/backup?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Mi ero perso questa discussione, a cui posso aggiungere alcune cose:
  • non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
  • switchate a yubikey, chiave fisica e non una app

e state sempre con gli occhi aperti
full member
Activity: 647
Merit: 135
mi sono sempre chiesto quanto potessere essere sicuro google authenticator...
per questo l'ho installato in un vecchio telefono senza scheda sim ne wireless attivo,  voi vi fidate di google?
un buon motore di ricerca.niente più!
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
Rispetto a SMS hijacking siamo ancora anni luce più tranquilli imho. Purtroppo c'è ancora la brutta abitudine di fidarsi troppo di servizi centralizzati e non minimizzare il rischio (non parlo di traders).
hero member
Activity: 903
Merit: 966
Sfruttando il 2FA (e dando pure un’occhiata al pin) alcuni trojan bucano almeno 26 app di Exchanges e servizi wallet (come Binance, Coinbase, Xapo...)
https://it.cointelegraph.com/news/threat-alert-new-trojans-targeting-major-crypto-exchanges-apps-discovered

Poi certo, x installare certi trojan (come altri) in genere bisogna prima dimenticarsi le regole basi per non farsi inchiappettare navigando sul web 🙂
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Ok, visto
Il rischio é presente su piattaforme Android, quindi io sono sicuro, per ora  Cool
legendary
Activity: 2562
Merit: 2640
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura

In questo caso sì.
Nel link che ho messo in OP si fa riferimento a quest'altro:
https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

che a sua volta punta a questo che spiega meglio il tutto:
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html

e in quest'ultimo viene detto:
Quote
Abusing the Accessibility privileges, the Trojan can now also steal 2FA codes from Google Authenticator application. When the app is running, the Trojan can get the content of the interface and can send it to the C2 server.

considerando che parla del trojan Cerberus che è stato lanciato nel giugno 2019, in questo caso è proprio il mancato aggiornamento dell'app il vero fattore di rischio.

hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura
legendary
Activity: 2562
Merit: 2640
sarra' risolto da Google trapoco

Hai un link a qualche notizia ufficiale? giusto per capire anche i tempi: se non fossero brevi sarebbe rischioso aspettare.

member
Activity: 82
Merit: 121
l'unica pecca di Authy è di non essere opensource, per il resto è molto comoda.
Come 2fa opensource conosco andOTP ( https://github.com/andOTP/andOTP ), purtroppo è solo per Android. Per gli utenti iOS non credo ci siano alternative.

edit: ho letto dopo il link e viene menzionata anche lì
legendary
Activity: 2562
Merit: 2640
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....

Jump to: