I förra veckans poddavsnitt pratade vi om en spionerande tvåfaktorsautentiseringsapp som stal hemligheterna i QR-koderna som användaren skannade. Dessa hemligheter är allt som en angripare behöver för att kunna generera de rätta engångskoderna.
Den spionerande Iphone-appen uppmärksammades av den tyskkanadensiska säkerhetsduon Mysk. I ett inlägg på Twitter konstaterade duon att appen inte bara hade klarat sig igenom Apples granskningsprocess. Appen marknadsfördes till och med, så att den dök upp som en annons ovanför App Store-sökresultatet när användare letade efter tvåfaktorsautentiseringsappar. Vid publicering av denna artikel är appen fortfarande tillgänglig i App Store.
I lördags uppmärksammade Mysk att Android-versionen av appen betedde sig på samma sätt. Mysk skrev att den spionerande appen till och med var bland de fem först visade apparna som dök upp vid en sökning efter 2FA-appar. Även Android-appen är fortfarande tillgänglig. Den har i skrivande stund över en halv miljon nedladdningar.
Enligt appens datasäkerhetsdeklaration delas ingen data med tredje part, vilket inte stämmer. Appen innehåller rent av en mängd spårningskod (rapport hos Exodus Privacy). Förr i tiden ville appen till och med ha åtkomst till användarens kontakter och kalendrar (rapport hos Exodus Privacy).
Som om det inte var nog med detta är både App Store- och Google Play-butikerna fulla av andra skräpappar för tvåfaktorsautentisering. Merparten är av dessa skräpappar är inte skadliga, men de lurar användaren att betala en prenumerationsavgift för något som borde vara gratis. Skräpapparna har ikoner som påminner om seriösa appars diton, och eftersom de dyker upp i annonser ovanför de riktiga sökresultaten är det lätt att luras.
Använd Twilio Authy
Lyckligtvis finns det gott om bra tvåfaktorsautentiseringsappar. Nikka Systems rekommenderade app är Twilio Authy. Den är kostnadsfri och låter dig som användare säkerhetskopiera dina tvåfaktorsautentiseringshemligheter, så att du inte riskerar att bli utelåst om du tappar bort mobilen. Du kan till och med synkronisera dina tvåfaktorsautentiseringshemligheter totalsträckskrypterat så att inte ens Twilio, företaget som driver tjänsten, kan komma åt dem.
Observera att Twilio Authy stödjer två metoder för tvåfaktorsautentisering: de facto branschstandardmetoden (Google Authenticator-metoden) och Authys egen metod. Under Accounts-fliken i appen kan du se eventuella konton som använder Authy-metoden. Authy-appen totalsträckskrypterar inte Authy-metodens tvåfaktorsautentiseringshemligheter. Använd därför alltid de facto branschstandardmetoden (Google Authenticator-metoden) när så är möjligt.
Nackdelarna med Authy
Authy har två nämnvärda nackdelar. För det första är källkoden stängd. För det andra saknas ett officiellt sätt att exportera alla tvåfaktorsautentiseringshemligheter för att byta app. Vi hoppas att Twilio i framtiden öppnar källkoden och lägger till exportfunktion. Om inte annat börjar Raivo OTP (Iphone-app med granskningsbar källkod) och Aegis (Android-app med öppen källkod) bli alltmer intressanta alternativ. Dessa appar är för närvarande under utvärdering.
Ytterligare ett alternativ är att använda lösenordshanterarens inbyggda funktion för tvåfaktorsautentisering. En sådan funktion finns i bland annat premiumversionen av Bitwarden (öppen källkod), 1password och Icloud-nyckelringen.
Tack för svar. Har försökt sätta mig in i Twilios affärsmodell och tolkar det som att de inte tjänar något på Authy. Den tjänsten måste därför finansieras av deras övriga produkt/tjänsteutbud. Därför undrar jag vad Twilio ”vinner” på att tillhandahålla Authy. Finns det något avsnitt i ”Bli säker podden” eller någon artikel någonstans som förklarar det som du känner till?
Kloka tankar. Authy är gratis för alla användare. Att ge bort appen kostnadsfritt är grunden i Twilios affärsmodell för området. Authy stödjer nämligen två tvåfaktorsautentiseringsmetoder, både branschstandardmetoden (”Google Authenticator-metoden”) och Authys egen metod.
Authys egen metod är kostnadsfri för alla användare, men tjänsten som den förlitar sig på kostar för organisationen som vill erbjuda den för sina användare. Valimail och Twitch är två exempel som jag på rak arm kan komma på att erbjuder Authys egen metod. Det är alltså på företag såsom Valimail och Twitch som Twilio tjänar pengar på Authy.
Obs! Authy-appen totalsträckskrypterar inte Authy-metodens tvåfaktorsautentiseringshemligheter. Använd därför alltid de facto branschstandard¬metoden (”Google Authenticator-metoden”) när så är möjligt.
Hej.
Ovan skriver du om oseriösa 2FA-tjänster som spionerar på och stjäl data från användaren. Säkert en dum fråga men jag kan ju inte bli klokare om jag inte ställer den: Om källkoden till Authy är stängd, hur kan vi då vara säkra på att Authy inte gör samma sak som de oseriösa aktörerna?
Det tyckte jag att tvärtom var en mycket bra fråga. Vi pratar en del om det i poddavsnitt 190 (”Tillitsribba”).
https://nikkasystems.com/2023/03/24/podd-190-tillitsribba/
Anledningen till att jag litar på Authy är för att jag litar på företaget bakom (Twilio). Twilio är ett stort börsnoterat bolag med 15 års erfarenhet från branschen. I och med deras storlek och deras kunder har de säkerhetsrutinerna för att granska kodändringar och säkerställa att ingen medarbetare försöker smyga in skade- eller spionprogram. Risken för att hela bolaget skulle försöka göra något begärligt är infinitesimal eftersom det skulle äventyra hela bolagets verksamhet.
Med det sagt: så fort det finns en lika bra motsvarighet med öppen källkod kommer vi att byta rekommendation.