Actualmente casi cualquier servicio incorpora la posibilidad de configurar un segundo factor de autenticación, con el objetivo de proteger nuestras cuentas. No solamente necesitaremos poner el usuario y la contraseña que usemos, sino también un código que podemos recibir por SMS, email, o generado por una aplicación autenticadora como Google Authenticator. Hace unos días, Google ha añadido una característica muy importante a su app gratuita para Android y iOS, y es que ahora podemos sincronizar estos códigos 2FA entre varios dispositivos, y hacer una copia de seguridad en nuestra cuenta de Google. Ahora se ha descubierto que está enviando estos códigos sin cifrar, y cualquiera podría capturarlos y comprometer nuestras cuentas.
Muchos usuarios llevan confiando en Google Authenticator para generar códigos de un solo uso temporales desde sus smartphones, uno de los puntos débiles de esta app es que siempre se almacenan localmente en el terminal, por lo que si cambiamos de terminal tendremos que empezar un largo y tedioso proceso de desactivación de 2FA y volver a activarlo capturando el código QR en otro terminal, hasta ahora.
Sincronización de los códigos en Google Authenticator
Google ha lanzado hace unos días la actualización más importante que se recuerda en la app de Google Authenticator. Hasta ese momento, el almacenamiento de los códigos 2FA era única y exclusivamente local, por lo que no podíamos hacer una copia de seguridad ni acceder a todos ellos desde el Cloud. En caso de cambiar de móvil, era necesario volver a generar los códigos 2FA en todas y cada una de las cuentas. En caso de pérdida o robo del terminal, teníamos que realizar un largo proceso de desactivación de esta protección a través de emails con la cuenta principal.
Por este motivo, muchos usuarios han confiado siempre en Latch o en aplicaciones como Authy que nos permite realizar una copia de seguridad y sincronización en la nube, con el objetivo de que cambiar de dispositivo móvil sea tan sencillo como iniciar sesión en el nuevo, y ya tendremos todos los códigos 2FA a nuestra disposición. Esta funcionalidad de sincronización lleva pidiéndose bastantes años, y es ahora cuando ha llegado, pero no está bien implementada en la aplicación.
Envío de todos los códigos 2FA sin cifrar
Según Mysk, una empresa de desarrollo y ciberseguridad, han detectado que Google Authenticator está enviando todos los códigos almacenados en el terminal a los servidores de Google sin ningún tipo de protección, es decir, no está cifrando el envío de estos datos para tener privacidad y seguridad. El equipo de Mysk ha analizado el tráfico de red cuando la aplicación está sincronizando estas «claves» o también llamados «secretos», y han llevado a la conclusión de que no se está cifrando extremo a extremo todos los datos. Esto significa varias cosas:
- Google puede ver todos los secretos de los diferentes servicios que nosotros subamos, incluso es posible que los pueda ver mientras estén almacenados en sus servidores.
- No hay posibilidad de añadir una contraseña para proteger estos «secretos», para que solamente nosotros podamos acceder a ellos y nadie más.
Este comportamiento de Google Authenticator es catastrófico. Cada código QR que nosotros escaneamos con el terminal móvil, lleva un «secreto» o también conocido como «token» que es el que se utiliza para generar los códigos temporales de un solo uso. Si alguien conoce este token, podría generar exactamente los mismos códigos que nosotros, pudiendo evadir sin ningún problema el segundo factor de autenticación.
https://twitter.com/mysk_co/status/1651021165727477763/
Si alguien es capaz de hackear nuestra cuenta de Google a través de diferentes técnicas, podría acceder a todos y cada uno de los tokens almacenados en nuestra cuenta y acceder al segundo factor de autenticación de todos y cada uno de los servicios. Debemos tener en cuenta que, cuando nosotros registramos un servicio 2FA en Google Authenticator, incorporamos un nombre descriptivo de qué servicio es, para posteriormente acceder a él y ver el código temporal de un solo uso. Otro aspecto importante es que el propio Google podrá ver todos los servicios que estamos usando con el segundo factor de autenticación, es decir, estamos proporcionando mucha más información de lo que en un principio creemos.
Tal y como podéis ver, aunque esta funcionalidad es súper importante, ahora mismo no os recomendamos usarla hasta que no se añadan las medidas de seguridad necesarias para proteger vuestros tokens, tanto de Google como de cualquier pirata informático que podría hackear vuestra cuenta de Google.
El artículo No uses la nueva función de Google Authenticator, envía todos tus códigos sin cifrar se publicó en RedesZone.
0 Commentaires