Google 2-step verification, vulnerabilità risolta

Grave falla nel sistema di verifica in due step di Google: l'azienda di Mountain View ha già risolto il problema su segnalazione del team Duo Security.
Grave falla nel sistema di verifica in due step di Google: l'azienda di Mountain View ha già risolto il problema su segnalazione del team Duo Security.
Cristiano Ghidotti
Pubblicato il 26 feb 2013
Google 2-step verification, vulnerabilità risolta

Nel 2011 Google ha introdotto il sistema 2-step verification per offrire un livello più elevato di sicurezza ai propri utenti, in modo da aiutarli a proteggere un account anche nel caso di furto della password. Anziché limitare il tutto al solo login tramite username e codice segreto, questo approccio prevede di affiancare alle classiche credenziali anche l’ausilio di uno dispositivo posseduto, ad esempio uno smartphone. Stando al report di Duo Security, il metodo in questione è stato però soggetto di una grave vulnerabilità, ora fortunatamente risolta da bigG.

La falla sfruttava le cosiddette ASP (Application-Specific Password), ovvero le password utilizzate per accedere all’account dalle applicazioni che non supportano il procedimento 2-step. Grazie a queste un malintenzionato era in grado di accedere a tutte le informazioni relative ai servizi e alle piattaforme

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

ancora senza conoscere la password principale del profilo, saltando di fatto il primo e più importante layer di sicurezza. Il gruppo di Mountain View, non appena venuto a conoscenza della grave vulnerabilità, ha provveduto a risolverla.

[youtube]zMabEyrtPRg[/youtube]

Quanto accaduto sembra fortunatamente non aver causato alcuna violazione o furto d’identità, ma riporta alla luce un problema di cui si è già discusso più volte: le scorciatoie impiegate dalle app per l’accesso veloce agli account non sempre sono inespugnabili e possono costituire un’insidia. Va comunque precisato che il procedimento di autenticazione in due step risulta di gran lunga più affidabile rispetto a quello tradizionale, soprattutto ora che la falla è stata tappata. Il consiglio è dunque, per chi ancora non l’avesse fatto, di attivarlo immediatamente seguendo gli step elencati di seguito.

  1. Accedere al proprio account Google;
  2. fare click sulla voce “Sicurezza” nel menu di sinistra;
  3. selezionare la voce “Verifica in due passaggi”;
  4. inserire il codice di verifica ricevuto via SMS al numero di telefono specificato.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

Instagram risolve il problema di consumo batteria sui Pixel
Google

Instagram risolve il problema di consumo batteria sui Pixel
Google introduce nuove funzionalità su Chrome per migliorare l'accessibilità
Google

Google introduce nuove funzionalità su Chrome per migliorare l'accessibilità
Phishing con falsi operatori Google: come proteggere il tuo account
Google

Phishing con falsi operatori Google: come proteggere il tuo account
Gmail nel mirino degli hacker: allarme truffa sul codice 2FA
Google

Gmail nel mirino degli hacker: allarme truffa sul codice 2FA
Link copiato negli appunti