Gli smartphone Android potranno essere utilizzati come sistemi anti-phishing: una nuova funzione di sicurezza permetterà infatti agli utenti Android dalla versione 7 (Nougat) in poi di utilizzare il proprio telefonino come chiave hardware per l’autenticazione a due fattori quando si accede al proprio account personale su Google, alle applicazioni della G Suite, alla Google Cloud Platform e alle altre applicazioni di Big G utilizzate dentro e fuori l’ufficio.
L’annuncio di questa nuova tecnologia è stato dato a sorpresa da Google durante il Cloud Next 2019 di San Francisco, in mezzo a tanti altri aggiornamenti e miglioramenti orientati alle imprese.
Rilasciata al momento in versione beta, la funzione consentirà di proteggere gli utenti di Google dagli attacchi di phishing.
Indice degli argomenti
Smartphone Android come sistema anti-phishing: la tecnologia
Il nuovo sistema anti-phishing funziona, in linea di principio, in maniera identica ai token hardware basati su tecnologia USB FIDO o come l’equivalente chiave hardware Titan che la stessa Google ha lanciato lo scorso anno. La differenza, fondamentale, è che la nuova tecnologia trasforma lo smartphone stesso in un token di sicurezza.
Google offre anche altri metodi software di autenticazione a due fattori: codici di verifica degli SMS, l’app Google Authenticator e la funzione Messaggio di Google (o Google Prompt) che però offrono diversi livelli di sicurezza e ognuno di questi presenta alcune criticità. Un aggressore, ad esempio, potrebbe colpire un utente specifico e intercettare un codice inviato via SMS, riuscendo così ad accedere all’account della vittima.
Le chiavi hardware rappresentano invece l’opzione più forte per l’autenticazione a due fattori, in quanto utilizzano protocolli basati sulla crittografia a chiave pubblica standard per bloccare i tentativi di acquisizione dell’account.
C’è da dire, però, che a causa della scomodità di utilizzo (bisogna ricordarsi di portare sempre dietro il proprio token se si vuole accedere ai servizi Google anche fuori dall’ufficio) e ai costi elevati, le chiavi hardware non hanno mai raggiunto il successo sperato. Ora che la chiave è integrata direttamente nel proprio smartphone, anche questi problemi potranno essere risolti.
La chiave di sicurezza integrata negli smartphone Android (i tablet, al momento, non sono ancora supportati) utilizzerà il protocollo di sicurezza FIDO e funzionerà in abbinamento al browser Chrome sui sistemi operativi Chrome OS, macOS X e Windows 10 sui quali è abilitato il collegamento Bluetooth.
“Come nel caso di Titan Security Key di Google, l’algoritmo di autenticazione utilizzato si basa sul protocollo FIDO che fa uso della crittografia asimmetrica. La sicurezza è quindi delegata alla segretezza della chiave privata che deve essere conosciuta solamente dal dispositivo autenticatore”, ci dice Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation.
L’analista mette quindi in evidenza una vulnerabilità del nuovo sistema messo a punto da Google in un possibile scenario di attacco: “In linea di principio, un sistema dedicato a svolgere una singola funzionalità (come ad esempio la Titan Security Key), potenzialmente espone una superficie d’attacco minore. In quest’ottica, il fatto che la maggior parte dei dispositivi mobili Android non hanno hardware dedicato che si occupa dell’autenticazione, espone il processo a potenziali vulnerabilità. In altre parole, il fatto che normalmente la chiave privata è conservata all’interno dello stesso sistema in cui vengono installati altri software crea la possibilità che un attaccante possa entrarne in possesso e, quindi, invalidare il secondo fattore di autenticazione”.
“In questa ottica – continua l’analista – non bisogna dimenticare gli attacchi al firmware, cioè a quel codice che definisce in qualche modo l’identità di un dispositivo e il suo funzionamento basilare. Inoltre, quando si permette ad un dispositivo di accedere in modo permanente senza la verifica del secondo fattore di autenticazione, bisogna bilanciare con cura la comodità che deriva da tale decisione alla possibilità che il dispositivo sia esposto ad un utilizzo non autorizzato”.
Usare lo smartphone Android come sistema anti-phishing
Utilizzare il proprio smartphone Android come sistema anti-phishing (ovviamente quando la nuova funzione verrà rilasciata in versione definitiva) è semplicissimo.
Innanzitutto, bisogna aggiungere la chiave di sicurezza al proprio account Google. Per farlo, è sufficiente seguire questi passi:
- accediamo ad una qualsiasi applicazione Google, clicchiamo sull’icona del nostro account in alto a destra e premiamo il pulsante Account Google;
- spostiamoci nella sezione Sicurezza, selezioniamo la Verifica in due passaggi e attiviamo il metodo di autenticazione Messaggio di Google;
- dallo smartphone Android accediamo a myaccount.google.com/security;
- in Accedi a Google selezioniamo Verifica in due passaggi. Potrebbe essere necessario effettuare l’accesso al nostro account;
- scorriamo la schermata verso il basso e attiviamo l’opzione Configura un secondo passaggio alternativo;
- selezioniamo Aggiungi chiave di sicurezza, quindi aggiungiamo il nostro smartphone Android e tocchiamo il pulsante Accendi.
A questo possiamo usare la chiave di sicurezza integrata nello smartphone Android:
- sul computer, assicuriamoci che il Bluetooth sia attivato nelle Impostazioni;
- sempre dal computer, accediamo al nostro account Google usando nome utente e password;
- riceveremo una notifica sullo smartphone Android;
- visualizziamola e tocchiamo il pulsante Stai cercando di accedere.
Cosa succede se perdiamo lo smartphone o subiamo un furto? In questo caso, è necessario aver abilitata l’app Authenticator da usare come sistema alternativo per l’accesso sicuro al proprio account Google oppure utilizzare i codici di sicurezza di backup che Google consente di scaricare e stampare quando si attiva la verifica in due passaggi sul proprio account.
