Od prošlog ljeta, Google je počeo prodavati hardverske ključeve (drugim riječima, tokene) kako bi pojednostavio dvofaktorski proces autorizacije za prijavu na račun sa uslugama kompanije. Tokeni olakšavaju život korisnicima koji mogu zaboraviti na ručno unošenje nevjerovatno složenih lozinki, a također uklanjaju identifikacione podatke sa uređaja: računara i pametnih telefona. Razvoj je nazvan Titan Security Key i nudio se i kao USB uređaj i sa Bluetooth vezom. Prema Google-u, nakon početka korištenja tokena unutar kompanije, u cijelom periodu nakon toga nije bilo niti jedne činjenice hakovanja naloga zaposlenih. Nažalost, jedna ranjivost je i dalje pronađena u Titan sigurnosnom ključu, ali za Googleovu zaslugu, otkrivena je u Bluetooth Low Energy protokolu. Ključevi povezani preko USB-a ostaju neranjivi na hakovanje.
Kako
Otkrivene ranjivosti omogućavaju napadaču da djeluje na dva načina. Prvo, ako neko zna login i lozinku napadnute osobe, može se prijaviti na njegov nalog u trenutku kada klikne na dugme za povezivanje na tokenu. Da bi to učinio, napadač mora biti unutar komunikacijskog dometa ključa - to je otprilike do 10 metara. Drugim riječima, dongle se preko Bluetooth-a povezuje ne samo na uređaj korisnika, već i na uređaj napadača, čime se obmanjuje Google-ova dvofaktorska autentikacija.
Drugi način za iskorištavanje ranjivosti u Bluetooth-u za neovlašteno korištenje tokena Bluetooth Titan Security Key je taj da kada se uspostavi veza između ključa i uređaja korisnika, napadač se može povezati s uređajem žrtve pod krinkom Bluetooth periferije, za na primjer, miš ili tastatura. I nakon toga upravljajte žrtvinim uređajem kako želi. Ni u prvom ni u drugom slučaju, nema ništa dobro za korisnika sa kompromitovanim ključem. Autsajder ima mogućnost da izvuče lične podatke za čije curenje žrtva neće ni znati. Imate li Bluetooth Titan sigurnosni ključ token? Povežite ga i idite na
izvor: 3dnews.ru