Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт

Автор: Newsmaker. Опубликовано в Новости мира ПК и ИТ

Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт

С лета прошлого года компания Google начала продавать аппаратные ключи (по-другому ― токены) для упрощения процесса двухфакторной авторизации для входа в аккаунт с сервисами компании. Токены позволяют упростить жизнь пользователям, которые могут забыть о ручном вводе невообразимо сложных паролей, а также убрать данные для идентификации с устройств: компьютеров и смартфонов. Разработка получила название Titan Security Key и предлагалась как в виде USB-устройства, так и с подключением по Bluetooth. По словам Google, после начала использования токенов внутри компании, за все время после этого не было ни одного факта взлома аккаунтов сотрудников. Увы, одна уязвимость в Titan Security Key все-таки нашлась, но к чести Google она обнаружена в протоколе Bluetooth Low Energy. Ключи с подключением по USB остаются все так же неуязвимы для взлома.

Как на сайте Google, часть токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Эти токены можно определить по маркировке на обратной стороне ключа. Если в номере на обратной стороне есть комбинации T1 или T2, то такой ключ подлежит замене. Компания приняла решение бесплатно менять такие ключи. В противном случае цена вопроса составила бы до $25 плюс стоимость пересылки.

Обнаруженные уязвимости позволяют злоумышленнику действовать двумя способами. Во-первых, если кто-то знает логин и пароль атакуемого, то может войти в его аккаунт в момент нажатия на кнопку соединения на токене. Для этого злоумышленник должен находиться в радиусе действия связи ключа ― это примерно до 10 метров. Иными словами, ключ по Bluetooth подключается не только к устройству пользователя, но также к устройству злоумышленника, чем обманывает двухфакторную авторизацию Google.

Другой способ использования уязвимости в Bluetooth для несанкционированного использования токена Bluetooth Titan Security Key заключается в том, что в момент установки соединения ключа и устройства пользователя атакующий может подключиться к устройству жертвы под видом Bluetooth-периферии, например, как мышка или клавиатура. И уже после этого хозяйничать на устройстве жертвы как пожелает. Что в первом случае, что во втором для пользователя со скомпрометированным ключом ничего хорошего нет. Стороннему человеку открывается возможность извлечь данные личного характера, об утечке которых жертва даже не узнает. У вас есть токен Bluetooth Titan Security Key? Подключите его и перейдите по этой ссылке, а сервис Google сам определит надежный этот ключ или его необходимо заменить.

Войдите чтобы комментировать

Еще статьи...

© "Дельта Информ", Магнитогорск,  2005 - 2024. Designed by Dimm © 2012 - 2024 Point