Nel 2011 Google ha introdotto il sistema 2-step verification per offrire un livello più elevato di sicurezza ai propri utenti, in modo da aiutarli a proteggere un account anche nel caso di furto della password. Anziché limitare il tutto al solo login tramite username e codice segreto, questo approccio prevede di affiancare alle classiche credenziali anche l’ausilio di uno dispositivo posseduto, ad esempio uno smartphone. Stando al report di Duo Security, il metodo in questione è stato però soggetto di una grave vulnerabilità, ora fortunatamente risolta da bigG.
La falla sfruttava le cosiddette ASP (Application-Specific Password), ovvero le password utilizzate per accedere all’account dalle applicazioni che non supportano il procedimento 2-step. Grazie a queste un malintenzionato era in grado di accedere a tutte le informazioni relative ai servizi e alle piattaforme Google ancora senza conoscere la password principale del profilo, saltando di fatto il primo e più importante layer di sicurezza. Il gruppo di Mountain View, non appena venuto a conoscenza della grave vulnerabilità, ha provveduto a risolverla.
[youtube]zMabEyrtPRg[/youtube]
Quanto accaduto sembra fortunatamente non aver causato alcuna violazione o furto d’identità, ma riporta alla luce un problema di cui si è già discusso più volte: le scorciatoie impiegate dalle app per l’accesso veloce agli account non sempre sono inespugnabili e possono costituire un’insidia. Va comunque precisato che il procedimento di autenticazione in due step risulta di gran lunga più affidabile rispetto a quello tradizionale, soprattutto ora che la falla è stata tappata. Il consiglio è dunque, per chi ancora non l’avesse fatto, di attivarlo immediatamente seguendo gli step elencati di seguito.
- Accedere al proprio account Google;
- fare click sulla voce “Sicurezza” nel menu di sinistra;
- selezionare la voce “Verifica in due passaggi”;
- inserire il codice di verifica ricevuto via SMS al numero di telefono specificato.