Sedert verlede somer het Google hardewaresleutels (met ander woorde tokens) begin verkoop om die tweefaktor-magtigingsproses om by 'n rekening by die maatskappy se dienste aan te meld, te vereenvoudig. Tokens maak die lewe makliker vir gebruikers wat kan vergeet om ongelooflik komplekse wagwoorde handmatig in te voer, en ook identifikasiedata van toestelle verwyder: rekenaars en slimfone. Die ontwikkeling is Titan Security Key genoem en is beide as 'n USB-toestel en met 'n Bluetooth-verbinding aangebied. Volgens Google was daar na die begin van die gebruik van tokens binne die maatskappy gedurende die hele tydperk daarna nie 'n enkele feit van inbraak van werknemerrekeninge nie. Helaas, een kwesbaarheid is steeds in die Titan-sekuriteitsleutel gevind, maar tot Google se krediet is dit in die Bluetooth-laeenergie-protokol ontdek. USB-gekoppelde sleutels bly onkwetsbaar vir inbraak.
As Op die Google-webwerf is gevind dat sommige Bluetooth Titan-sekuriteitsleuteltokens 'n verkeerde Bluetooth-laeenergie-opstelling het. Hierdie tekens kan uitgeken word deur merke op die agterkant van die sleutel. As die nommer op die keersy kombinasies T1 of T2 bevat, moet so 'n sleutel vervang word. Die maatskappy het besluit om sulke sleutels gratis te verander. Andersins sal die uitreikingsprys tot $25 plus posgeld wees.
Die ontdekte kwesbaarhede laat 'n aanvaller toe om op twee maniere op te tree. Eerstens, as iemand die login en wagwoord van die aangeval persoon ken, kan hulle by sy rekening aanmeld sodra hy op die koppelknoppie op die teken klik. Om dit te doen, moet die aanvaller binne die kommunikasiebereik van die sleutel wees - dit is ongeveer tot 10 meter. Met ander woorde, die dongle koppel via Bluetooth nie net aan die gebruiker se toestel nie, maar ook aan die aanvaller se toestel, en mislei daardeur Google se twee-faktor-verifikasie.
Nog 'n manier om 'n kwesbaarheid in Bluetooth te ontgin vir ongemagtigde gebruik van die Bluetooth Titan Sekuriteitsleutel-token, is dat wanneer 'n verbinding tussen die sleutel en die gebruiker se toestel tot stand gebring word, die aanvaller met die slagoffer se toestel kan koppel onder die dekmantel van 'n Bluetooth-randtoestel, vir byvoorbeeld 'n muis of sleutelbord. En daarna, bestuur die slagoffer se toestel soos hy wil. Of in die eerste geval of in die tweede geval is daar niks goed vir 'n gebruiker met 'n gekompromitteerde sleutel nie. ’n Buitestander het die geleentheid om persoonlike data te onttrek, waarvan die lekkasie die slagoffer nie eens sal weet nie. Het jy 'n Bluetooth Titan-sekuriteitsleuteltoken? Koppel dit en gaan na , en die Google-diens self sal bepaal of hierdie sleutel betroubaar is en of dit vervang moet word.
Bron: 3dnews.ru