Новости Hardware

Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт

С лета прошлого года компания Google начала продавать аппаратные ключи (по-другому ― токены) для упрощения процесса двухфакторной авторизации для входа в аккаунт с сервисами компании. Токены позволяют упростить жизнь пользователям, которые могут забыть о ручном вводе невообразимо сложных паролей, а также убрать данные для идентификации с устройств: компьютеров и смартфонов. Разработка получила название Titan Security Key и предлагалась как в виде USB-устройства, так и с подключением по Bluetooth. По словам Google, после начала использования токенов внутри компании, за всё время после этого не было ни одного факта взлома аккаунтов сотрудников. Увы, одна уязвимость в Titan Security Key всё-таки нашлась, но к чести Google она обнаружена в протоколе Bluetooth Low Energy. Ключи с подключением по USB остаются всё так же неуязвимы для взлома.

Google Bluetooth Titan Security Key

Google Bluetooth Titan Security Key

Как сообщается на сайте Google, часть токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Эти токены можно определить по маркировке на обратной стороне ключа. Если в номере на обратной стороне есть комбинации T1 или T2, то такой ключ подлежит замене. Компания приняла решение бесплатно менять такие ключи. В противном случае цена вопроса составила бы до $25 плюс стоимость пересылки.

Обнаруженные уязвимости позволяют злоумышленнику действовать двумя способами. Во-первых, если кто-то знает логин и пароль атакуемого, то может войти в его аккаунт в момент нажатия на кнопку соединения на токене. Для этого злоумышленник должен находиться в радиусе действия связи ключа ― это примерно до 10 метров. Иными словами, ключ по Bluetooth подключается не только к устройству пользователя, но также к устройству злоумышленника, чем обманывает двухфакторную авторизацию Google.

Google Bluetooth Titan Security Key

Google Bluetooth Titan Security Key

Другой способ использования уязвимости в Bluetooth для несанкционированного использования токена Bluetooth Titan Security Key заключается в том, что в момент установки соединения ключа и устройства пользователя атакующий может подключиться к устройству жертвы под видом Bluetooth-периферии, например, как мышка или клавиатура. И уже после этого хозяйничать на устройстве жертвы как пожелает. Что в первом случае, что во втором для пользователя со скомпрометированным ключом ничего хорошего нет. Стороннему человеку открывается возможность извлечь данные личного характера, об утечке которых жертва даже не узнает. У вас есть токен Bluetooth Titan Security Key? Подключите его и перейдите по этой ссылке, а сервис Google сам определит надёжный этот ключ или его необходимо заменить.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥