منذ الصيف الماضي، بدأت جوجل في بيع مفاتيح الأجهزة (بمعنى آخر، الرموز المميزة) لتبسيط عملية التفويض الثنائي لتسجيل الدخول إلى حساب بخدمات الشركة. تعمل الرموز المميزة على تسهيل الحياة بالنسبة للمستخدمين الذين يمكنهم نسيان إدخال كلمات مرور معقدة بشكل لا يصدق يدويًا، بالإضافة إلى إزالة بيانات التعريف من الأجهزة: أجهزة الكمبيوتر والهواتف الذكية. أطلق على التطوير اسم Titan Security Key وتم تقديمه كجهاز USB ومع اتصال Bluetooth. وفقًا لشركة Google، بعد بدء استخدام الرموز داخل الشركة، طوال الوقت بعد ذلك لم تكن هناك حقيقة واحدة تتعلق باختراق حسابات الموظفين. للأسف، تم العثور على ثغرة أمنية واحدة في Titan Security Key، ولكن يُحسب لشركة Google أنه تم العثور عليها في بروتوكول Bluetooth Low Energy. لا تزال المفاتيح المتصلة عبر USB محصنة ضد القرصنة.
كيف على موقع Google على الويب، تبين أن بعض الرموز المميزة لمفتاح أمان Bluetooth Titan تحتوي على تكوين غير صحيح لتقنية Bluetooth منخفضة الطاقة. يمكن التعرف على هذه الرموز من خلال العلامات الموجودة على الجزء الخلفي من المفتاح. إذا كان الرقم الموجود على الجانب الخلفي يحتوي على مجموعات T1 أو T2، فيجب استبدال هذا المفتاح. قررت الشركة تغيير هذه المفاتيح مجانًا. وبخلاف ذلك، فإن سعر الإصدار سيصل إلى 25 دولارًا بالإضافة إلى الشحن.
تسمح نقاط الضعف المكتشفة للمهاجم بالتصرف بطريقتين. أولاً، إذا كان شخص ما يعرف معلومات تسجيل الدخول وكلمة المرور الخاصة بالمهاجم، فيمكنه تسجيل الدخول إلى حسابه في لحظة الضغط على زر الاتصال الموجود على الرمز المميز. للقيام بذلك، يجب أن يكون المهاجم ضمن نطاق الاتصال الرئيسي - وهذا يصل إلى 10 أمتار تقريبًا. بمعنى آخر، لا يتصل مفتاح Bluetooth بجهاز المستخدم فحسب، بل يتصل أيضًا بجهاز المهاجم، مما يخدع مصادقة Google الثنائية.
هناك طريقة أخرى لاستخدام ثغرة أمنية في Bluetooth للاستخدام غير المصرح به لرمز Bluetooth Titan Security Key المميز، وهي أنه في وقت إنشاء اتصال بين الدونجل وجهاز المستخدم، يمكن للمهاجم الاتصال بجهاز الضحية تحت ستار جهاز Bluetooth الطرفي. ، مثل الماوس أو لوحة المفاتيح. وبعد ذلك التحكم بجهاز الضحية كما يريد. أنه في الحالة الأولى، في الحالة الثانية، لا يوجد شيء جيد لمستخدم لديه مفتاح مخترق. يتمتع شخص خارجي بفرصة استخراج البيانات الشخصية التي لا يعرف الضحية حتى تسربها. هل لديك مفتاح أمان Bluetooth Titan؟ قم بتوصيله وانتقل إلى وستحدد خدمة Google نفسها ما إذا كان هذا المفتاح موثوقًا أم أنه يحتاج إلى الاستبدال.
المصدر: 3dnews.ru