Sappiamo che a maggio di quest’anno è stato scoperto un attacco che consentiva di bypassare l’autenticazione a due fattori (quella con un sms di conferma con un codice) grazie all’exploit di una vulnerabilità nel protocollo SS7.
Questo protocollo di comunicazione creato nel 1975 il quale ha diverse funzionalità, come riporta Wikipedia, infatti si occupa dei seguenti aspetti:
E’ dal 2010 (quindi ere geologiche fa, parlando in termini informatici) che esperti e ricercatori mettono in evidenza vulnerabilità del protocollo che permettono di intercettare/manipolare i dati consentendo di ricevere i messaggi al posto dell’utente originale, per fare questo sono state scoperte diverse tecniche. Informazioni inerenti queste tecniche:
- 25c3: Locating Mobile Phones using SS7 – YouTube
- Tobias Engel: SS7: Locate. Track. Manipulate. – YouTube
- Hacking Your Phone – CBS News
- SS7 Attack Circumvents WhatsApp and Telegram Encryption – UPDATED
Questo tipo di attacco è già stato usato per bypassare l’autenticazione a due fattori presso un istituto bancario, cosa che ha permesso al cybercriminale di autenticare trasferimenti di fondi fraudolenti.
Alcune istituzioni hanno sconsigliato di usare il codice SMS nell’autenticazione a due fattori, infatti come sappiamo ve ne sono di diversi tipi, come ad esempio l’uso dell’autenticatore Microsoft, EA, Lastpass ecc
Google ha quindi preso atto del problema ed ha introdotto, per chi aveva l’autenticazione via sms, una nuova forma di accesso a due fattori che permette all’utente di dare conferma dell’accesso direttamente dal proprio smartphone, grazie ad una finestra come questa:
Nella finestra di conferma c’è la descrizione del pc dov’è stata eseguita la richiesta di accesso, la posizione, data ed ora: sono dati da controllare e verificare PRIMA di dare la conferma.
L’accesso al programma comunque è facoltativo (per ora), gli utenti con l’autenticazione via sms riceveranno un invito per accedere, in caso di rifiuto l’invito sarà rispedito dopo sei mesi.
Il programma verrà attivato dalla prossima settimana
Per gli utenti iOS è necessario avere l’app Google Search per vedere la richiesta di conferma correttamente.
Via: BleepingComputer.com