I telefoni Android trasformati in token di sicurezza anti-phishing

Google ha appena annunciato una nuova funzionalità di sicurezza che consente agli utenti di Android 7 e versioni successive di utilizzare i loro smartphone per autenticarsi nei propri account Google.

L’annuncio a sorpresa è sepolto all’interno di una insieme di miglioramenti rivolti alle aziende, rivelati al Google Cloud Next 2019 a San Francisco mercoledì scorso.

Rilasciata in versione beta, la funzione è progettata per proteggere gli utenti di Google da attacchi di phishing. Una volta abilitato, l’utente accede al proprio account Google utilizzando normalmente il proprio nome utente e password, per finire l’autenticazione l’utente dovrà cliccare su un messaggio che apparirà sullo schermo dello smartphone registrato.

In linea di principio è esattamente come utilizzare un token FIDO USB come YubiKey (o l’equivalente chiave Titan di Google lanciata l’anno scorso), tranne che per il fatto che lo stesso smartphone diventa il token.

Ciò combatte il phishing nello stesso modo in cui lo fa un token perché anche se gli hacker si impossessano del nome utente e della password di Google di qualcuno, non possono accedere all’account senza avere anche lo smartphone.

Requisiti

Per utilizzare il tuo telefono Android (i tablet non sembrano ancora supportati) come chiave di sicurezza, devi disporre di un telefono con Android versione 7.xo successiva, e devi attivare il Bluetooth.

Il computer deve inoltre disporre del Bluetooth e della versione più recente del browser Chrome, su un sistema operativo Chrome OS, MacOS X o Windows.

Come abilitarlo

Dal blog di supporto di Google:

Step 1: aggiungi la chiave di sicurezza al tuo account Google

1. Attiva la verifica in due passaggi e aggiungi un metodo di verifica come Google Prompt.
   1. • Se utilizzi già la verifica in due passaggi, puoi procedere.
2. Sul tuo telefono Android, vai su myaccount.google.com/security.
3. In “Accesso a Google”, seleziona Verifica in due passaggi. Potrebbe essere necessario accedere.
4. Scorri verso il basso fino a “Imposta un secondo passaggio alternativo”.
5. Seleziona Aggiungi chiave di sicurezza, quindi il proprio telefono Android e poi Attiva.

Step 2: utilizza la chiave di sicurezza integrata del tuo telefono Android

• Sul tuo computer, assicurati che il Bluetooth sia attivo nelle tue impostazioni o preferenze.
• Sul tuo computer, accedi al tuo account Google con nome utente e password.
• Controlla se hai ricevuto una notifica sul tuo telefono Android.
• Tocca due volte la notifica “Stai tentando di accedere?” sul tuo telefono.

Come funziona?

Il blog di Google sull’argomento non offre molti dettagli tecnici, ma possiamo tranquillamente presumere che si tratti del matrimonio previsto dei protocolli FIDO2 recentemente aggiunti ad Android e dello standard di autenticazione WebAuthn.

Per semplificare, i browser che supportano WebAuthn comunicano in modo sicuro con il server, in questo caso Google, verificandone l’autenticità. Il protocollo FIDO2, nel frattempo, gestisce la parte in cui il computer e lo smartphone comunicano per verificare che l’utente sia effettivamente in possesso dello smartphone.

Quest’ultimo funziona utilizzando il protocollo Client to Authenticator Protocol (CTAP) di FIDO2, che esegue l’autenticazione con lo smartphone tramite Bluetooth.

Viene anche menzionato qualcosa chiamato ““cloud-assisted Bluetooth Low Energy (caBLE)”. Non è chiaro di cosa si tratti, anche se potrebbe essere la prevista aggiunta di Google allo standard FIDO2 che prevede ulteriori controlli di sicurezza.

Cosa succede se perdi o non hai il tuo smartphone? In tal caso, dovrai abilitare l’app Authenticator come fallback o disporre di una chiave di sicurezza (YubiKey o Titan) o aver preso nota dei codici di sicurezza del backup che Google ti consente di scaricare e stampare.