Google rivede l'autenticazione in due step, era vulnerabile

Duo Security ha svelato un exploit per bypassare il sistema di autenticazione in due step di Google. La falla si nascondeva dietro alla scorciatoia dell'auto login. Non ci sono vittime e l'azienda di Mountain View ha già chiuso la falla.

Avatar di Elena Re Garbagnati

a cura di Elena Re Garbagnati

L'autenticazione in due step di Google non è così sicura come sembrava. Chi attiva questa funzione in teoria si assicura che nessuno possa accedere al proprio account Google, perché bisogna possedere anche un telefono per ricevere tramite SMS un codice di conferma.

In realtà Duo Security aveva trovato un exploit che sfruttava una vulnerabilità nel modo in cui venivano usate le password ASP (Application-Specific Passwords) dalle applicazioni che non supportano il login con verifica in due passaggi. 

Autenticazione in due step

"Una volta che si accede alla procedura di verifica in due step, Google chiede di creare una password specifica per ciascuna applicazione non compatibile con questo sistema di sicurezza" ha spiegato Adam Goodman di Duo Security. Per agevolare gli utenti legittimi, nelle versioni più recenti di Android e Chrome OS Google ha inserito un meccanismo di auto-login. In sostanza, spiega Goodman, una volta che il dispositivo dell'utente è stato collegato a un account Google, il browser consente di usare le autorizzazioni esistenti e saltare i passaggi dell'autenticazione.

Il punto è che questa scorciatoia consentiva l'accesso anche a informazioni sensibili dell'account, fra cui l'Account Recovery Options. Un hacker poteva quindi aggiungere e/o modifica indirizzi di posta elettronica e numeri di telefono a cui Google doveva notificare i messaggi di reimpostazione delle password.

C'era il trucco per bypassarla, ora non c'è più

In questo modo era possibile collegare un dispositivo Android a un account Google, ripristinare l'account di un ignaro utente e ottenere il pieno controllo di tutte le sue informazioni. Goodman, intervenuto alla RSA Security Conference 2013, non ha comunque puntato il dito contro Google. Pur sottolineando che quello che ha scoperto è "una falla piuttosto grave nel sistema di autenticazione" ha precisato che l'autenticazione in due step è "inequivocabilmente migliore della normale combinazione username e password".

Non appena appresa la notizia della falla di sicurezza Google ha provveduto a chiuderla e ora per accedere alle impostazione dell'account occorre sempre e comunque essere a conoscenza della password e digitarla.

Tutto è andato per il meglio e nessuno sembra essere stato colpito per questa leggerezza. In ogni caso quello che è successo serva di lezione per ricordare le regole di base della sicurezza. Meglio cambiare ogni tanto le password e non fidarsi ciecamente delle scorciatoie che semplificano la vita, perché non sempre sono inespugnabili.