Google Authenticator sta ottenendo la crittografia end-to-end, prima o poi. Dopo che i ricercatori di sicurezza hanno criticato l’azienda per non averla inclusa nell’aggiornamento della sincronizzazione dell’account di Authenticator, il product manager di Google Christiaan Brand ha risposto su Twitter dicendo che la società ha “in programma di offrire E2EE” in futuro.
“In questo momento, riteniamo che il nostro attuale prodotto raggiunga il giusto equilibrio per la maggior parte degli utenti e offra vantaggi significativi rispetto all’utilizzo offline”, scrive Brand. “Tuttavia, l’opzione per utilizzare l’app offline rimarrà un’alternativa per coloro che preferiscono gestire autonomamente la propria strategia di backup.”
All’inizio di questa settimana, Google Authenticator ha finalmente iniziato a offrire agli utenti la possibilità di sincronizzare i codici di autenticazione a due fattori con i loro account Google, rendendo molto più semplice l’accesso agli account sui nuovi dispositivi.
Sebbene si tratti di un cambiamento positivo, pone anche alcuni problemi di sicurezza, poiché gli hacker che entrano nell’account Google di qualcuno potrebbero potenzialmente ottenere l’accesso a una serie di altri account. Se la funzione supportasse E2EE, gli hacker e altre terze parti, incluso Google, non sarebbero in grado di vedere queste informazioni.
I ricercatori di sicurezza Mysk hanno evidenziato alcuni di questi rischi in un post su Twitter, osservando che “in caso di violazione dei dati o se qualcuno ottiene l’accesso al tuo account Google, tutti i tuoi segreti 2FA verrebbero compromessi”. Hanno aggiunto che Google potrebbe potenzialmente utilizzare le informazioni collegate ai tuoi account per pubblicare annunci personalizzati e hanno anche consigliato agli utenti di non utilizzare la funzione di sincronizzazione finché non supporta E2EE.
Il marchio ha respinto le critiche, affermando che mentre Google crittografa “i dati in transito e a riposo, attraverso i nostri prodotti, incluso in Google Authenticator”, l’applicazione di E2EE comporta “il costo di consentire agli utenti di rimanere bloccati fuori dai propri dati senza recupero.” Tuttavia, non esiste ancora una tempistica per quando Google porterà effettivamente E2EE alla nuova funzione di sincronizzazione dell’account di Authenticator, lasciando agli utenti la possibilità di utilizzare la funzione senza E2EE o semplicemente continuare a utilizzare Google Authenticator offline.