Perché Google sta cancellando alcune app
Google ha intenzione di bloccare l'accesso all'account Gmail ad alcune applicazioni che non utilizzano il protocollo OAuth: ecco quali sono
Novità in arrivo, nel 2020, per gli utenti business della G Suite di Google e, in particolar modo, per coloro che accedono alla propria casella di posta elettronica Gmail attraverso un client di terze parti. Si tratta di una bella fetta di utenti, visto che nel mondo business i client di posta elettronica sono ancora molto diffusi.
Google, però, ha comunicato che a partire dal 15 giugno 2020 inizierà a limitare l’accesso alla sua suite da parte delle “less secure apps” (LSA), cioè le app meno sicure. Entro il 15 febbraio 2021 tali app verranno completamente bloccate. Va notato che tra queste app ci sono anche alcune vecchie versioni di Microsoft Outlook, ancora usate da milioni di utenti nel mondo. La scelta di Google è una misura di sicurezza: le app meno sicure sono quelle che non usano il protocollo OAuth per l’autenticazione dell’utente, ma usano solo il nome utente e la password, e sono più facilmente soggette ad attacchi di phishing.
Cosa è il protocollo OAuth
Il protocollo OAuth è uno standard aperto e non proprietario di Google. Lo usano infatti anche Amazon, Twitter, Facebook e la stessa Microsoft nelle sue app più recenti. OAuth integra misure di protezione dell’account, mantenendo allo stesso tempo una buona flessibilità e comodità di uso e di implementazione. Ad esempio, tramite OAuth un’app di terze parti può accedere ai dati dell’utente, ma senza avere accesso alle sue credenziali. In altre parole: un client di posta elettronica può farci leggere e scrivere i messaggi, senza però conoscere il nostro nome utente e password che restano in mano a OAuth.
Il problema è il phishing
Se Google spinge per l’implementazione massiccia di OAuth è per proteggere gli utenti della G Suite dagli attacchi di phishing, resi più semplici dall’autenticazione semplice con user e password. Le nuove restrizioni varranno sia per l’accesso a Gmail che a Calendar, Docs e altri servizi di Google. Fino al 15 febbraio 2021 gli utenti che hanno connesso a G Suite app che non usano OAuth potranno continuare a usarle, se nel frattempo non sono state già disabilitate da Google.
OAuth è sicuro?
C’è da dire anche, però, che in passato il protocollo OAuth non si è dimostrato perfetto. Nel 2017, ad esempio, non è riuscito a bloccare un attacco malware agli utenti di Gmail: un’app infetta usò proprio OAuth per ottenere l’accesso ad alcuni account Gmail. Se gli utenti concedevano l’accesso, l’app iniziava a inviare messaggi di phishing camuffati da normale messaggio e-mail contenente un falso allegato in formato Google Docs con dentro un link malevolo. Dopo quell’episodio Google decise di continuare a usare OAuth come sistema di autenticazione, ma rafforzò molto le misure di sicurezza relative alla sua gestione.
