Spionerande appar för tvåfaktors­autentisering

I förra veckans poddavsnitt pratade vi om en spionerande tvåfaktors­autentiserings­app som stal hemligheterna i QR-koderna som användaren skannade. Dessa hemligheter är allt som en angripare behöver för att kunna generera de rätta engångs­koderna.

Den spionerande Iphone-appen uppmärksammades av den tyskkanadensiska säkerhetsduon Mysk. I ett inlägg på Twitter konstaterade duon att appen inte bara hade klarat sig igenom Apples granskningsprocess. Appen marknadsfördes till och med, så att den dök upp som en annons ovanför App Store-sökresultatet när användare letade efter tvåfaktors­autentiserings­appar. Vid publicering av denna artikel är appen fortfarande tillgänglig i App Store.

I lördags uppmärksammade Mysk att Android-versionen av appen betedde sig på samma sätt. Mysk skrev att den spionerande appen till och med var bland de fem först visade apparna som dök upp vid en sökning efter 2FA-appar. Även Android-appen är fortfarande tillgänglig. Den har i skrivande stund över en halv miljon nedladdningar.

Enligt appens datasäkerhets­deklaration delas ingen data med tredje part, vilket inte stämmer. Appen innehåller rent av en mängd spårningskod (rapport hos Exodus Privacy). Förr i tiden ville appen till och med ha åtkomst till användarens kontakter och kalendrar (rapport hos Exodus Privacy).

Som om det inte var nog med detta är både App Store- och Google Play-butikerna fulla av andra skräpappar för tvåfaktors­autentisering. Merparten är av dessa skräpappar är inte skadliga, men de lurar användaren att betala en prenumerations­avgift för något som borde vara gratis. Skräpapparna har ikoner som påminner om seriösa appars diton, och eftersom de dyker upp i annonser ovanför de riktiga sökresultaten är det lätt att luras.

Använd Twilio Authy

Lyckligtvis finns det gott om bra tvåfaktors­autentiserings­appar. Nikka Systems rekommenderade app är Twilio Authy. Den är kostnadsfri och låter dig som användare säkerhetskopiera dina tvåfaktors­autentiserings­hemligheter, så att du inte riskerar att bli utelåst om du tappar bort mobilen. Du kan till och med synkronisera dina tvåfaktors­autentiserings­hemligheter totalsträcks­krypterat så att inte ens Twilio, företaget som driver tjänsten, kan komma åt dem.

Observera att Twilio Authy stödjer två metoder för tvåfaktors­autentisering: de facto bransch­standard­metoden (Google Authenticator-metoden) och Authys egen metod. Under Accounts-fliken i appen kan du se eventuella konton som använder Authy-metoden. Authy-appen totalsträcks­krypterar inte Authy-metodens tvåfaktors­autentiserings­hemligheter. Använd därför alltid de facto bransch­standard­metoden (Google Authenticator-metoden) när så är möjligt.

Nackdelarna med Authy

Authy har två nämnvärda nackdelar. För det första är källkoden stängd. För det andra saknas ett officiellt sätt att exportera alla tvåfaktors­autentiserings­hemligheter för att byta app. Vi hoppas att Twilio i framtiden öppnar källkoden och lägger till exportfunktion. Om inte annat börjar Raivo OTP (Iphone-app med granskningsbar källkod) och Aegis (Android-app med öppen källkod) bli alltmer intressanta alternativ. Dessa appar är för närvarande under utvärdering.

Ytterligare ett alternativ är att använda lösenords­hanterarens inbyggda funktion för tvåfaktors­autentisering. En sådan funktion finns i bland annat premium­versionen av Bitwarden (öppen källkod), 1password och Icloud-nyckelringen.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Tack för svar. Har försökt sätta mig in i Twilios affärsmodell och tolkar det som att de inte tjänar något på Authy. Den tjänsten måste därför finansieras av deras övriga produkt/tjänsteutbud. Därför undrar jag vad Twilio ”vinner” på att tillhandahålla Authy. Finns det något avsnitt i ”Bli säker podden” eller någon artikel någonstans som förklarar det som du känner till?

    1. Karl Emil Nikka

      Kloka tankar. Authy är gratis för alla användare. Att ge bort appen kostnadsfritt är grunden i Twilios affärsmodell för området. Authy stödjer nämligen två tvåfaktorsautentiseringsmetoder, både branschstandardmetoden (”Google Authenticator-metoden”) och Authys egen metod.

      Authys egen metod är kostnadsfri för alla användare, men tjänsten som den förlitar sig på kostar för organisationen som vill erbjuda den för sina användare. Valimail och Twitch är två exempel som jag på rak arm kan komma på att erbjuder Authys egen metod. Det är alltså på företag såsom Valimail och Twitch som Twilio tjänar pengar på Authy.

      Obs! Authy-appen totalsträckskrypterar inte Authy-metodens tvåfaktorsautentiseringshemligheter. Använd därför alltid de facto branschstandard¬metoden (”Google Authenticator-metoden”) när så är möjligt.

  2. Hej.

    Ovan skriver du om oseriösa 2FA-tjänster som spionerar på och stjäl data från användaren. Säkert en dum fråga men jag kan ju inte bli klokare om jag inte ställer den: Om källkoden till Authy är stängd, hur kan vi då vara säkra på att Authy inte gör samma sak som de oseriösa aktörerna?

    1. Karl Emil Nikka

      Det tyckte jag att tvärtom var en mycket bra fråga. Vi pratar en del om det i poddavsnitt 190 (”Tillitsribba”).

      https://nikkasystems.com/2023/03/24/podd-190-tillitsribba/

      Anledningen till att jag litar på Authy är för att jag litar på företaget bakom (Twilio). Twilio är ett stort börsnoterat bolag med 15 års erfarenhet från branschen. I och med deras storlek och deras kunder har de säkerhetsrutinerna för att granska kodändringar och säkerställa att ingen medarbetare försöker smyga in skade- eller spionprogram. Risken för att hela bolaget skulle försöka göra något begärligt är infinitesimal eftersom det skulle äventyra hela bolagets verksamhet.

      Med det sagt: så fort det finns en lika bra motsvarighet med öppen källkod kommer vi att byta rekommendation.

Kommentar