Железо

Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт

Токены позволяют упростить жизнь пользователям, которые могут забыть о ручном вводе невообразимо сложных паролей, а также убрать данные для идентификации с устройств: компьютеров и смартфонов. С лета прошлого года компания Google начала продавать аппаратные ключи (по-другому ― токены) для упрощения процесса двухфакторной авторизации для входа в аккаунт с сервисами компании. По словам Google, после начла использования токенов внутри компании, за всё время после этого не было ни одного факта взлома аккаунтов сотрудников. Разработка получила название Titan Security Key и предлагалась как в виде USB-устройства, так и с подключением по Bluetooth. Ключи с подключением по USB остаются всё-также неуязвимы для взлома. Увы, одна уязвимость в Titan Security Key всё-таки нашлась, но к чести Google она обнаружена в протоколе Bluetooth Low Energy.

Google Bluetooth Titan Security Key

Google Bluetooth Titan Security Key

Эти токены можно определить по маркировке на обратной стороне ключа. Как сообщается на сайте Google, часть токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Компания приняла решение бесплатно менять такие ключи. Если в номере на обратной стороне есть комбинации T1 или T2, то такой ключ подлежит замене. В противном случае цена вопроса составила бы до $25 плюс стоимость пересылки.

Во-первых, если кто-то знает логин и пароль атакуемого, то может войти в его аккаунт в момент нажатия на кнопку соединения на токене. Обнаруженные уязвимости позволяют злоумышленнику действовать двумя способами. Иными словами, ключ по Bluetooth подключается не только к устройству пользователя, но также к устройству злоумышленника, чем обманывает двухфакторную авторизацию Google. Для этого злоумышленник должен находиться в радиусе действия связи ключа ― это примерно до 10 метров.

Google Bluetooth Titan Security Key

Google Bluetooth Titan Security Key

И уже после этого хозяйничать на устройстве жертвы как пожелает. Другой способ использования уязвимости в Bluetooth для несанкционированного использования токена Bluetooth Titan Security Key заключается в том, что в момент установки соединения ключа и устройства пользователя атакующий может подключиться к устройству жертвы под видом Bluetooth-периферии, например, как мышка или клавиатура. Стороннему человеку открывается возможность извлечь данные личного характера, об утечке которых жертва даже не узнает. Что в первом случае, что во втором для пользователя со скомпрометированным ключом ничего хорошего нет. Подключите его и перейдите по этой ссылке, а сервис Google сам определит надёжный этот ключ или его необходимо заменить. У вас есть токен Bluetooth Titan Security Key?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть