Da fine luglio è disponibile Proton Authenticator, un’app open source per Android, iOS, Windows, macOS e Linux che genera codici per l’autenticazione in due fattori (2FA). Un utente ha scoperto che le chiavi usate per generare i codici vengono aggiunte in chiaro al file di log. Il bug, presente nell’app iOS, è stato risolto.
Non è una vulnerabilità
Molti account online permettono di impostare un secondo fattore di autenticazione, oltre alla coppia nome utente o email e password. Invece di ricevere i codici tramite SMS, che possono essere intercettati da infostealer o con attacchi di SIM swapping, gli utenti possono utilizzare un’app come Proton Authenticator che genera codici a sei cifre ogni 30 secondi, da cui il nome TOTP (Time-based One-Time Password).
Un utente ha importato i codici 2FA dall’app 2FAS e cambiato l’etichetta per uno degli account. Successivamente ha notato che circa la metà dei codici 2FA era scomparsa. Prima di inviare la segnalazione a Proton ha aperto il file di log (si trova in Impostazioni > Visualizza log), scoprendo che nel testo erano presenti in chiaro le chiavi TOTP (TOTP secrets) dalle quali sono generati i codici 2FA.
Il bug è presente in due funzioni che aggiungono le chiavi TOTP al file di log nell’app per iOS. Proton ha risolto il problema nella versione 1.1.1. La software house svizzera ha tuttavia sottolineato che i log sono conservati solo sul dispositivo e la sincronizzazione delle chiavi tra dispositivi è protetta dalla crittografia end-to-end.
Secondo Proton non è una vulnerabilità dell’app perché chi ha accesso al dispositivo può sempre leggere i log. In pratica, le chiavi non possono essere esfiltrate da remoto. Proton Authenticator consente però di esportare i log che potrebbero essere pubblicati online. È sufficiente importare le chiavi in un’altra app e generare i codici 2FA per gli stessi account.