Dapoi l'estiu passatu, Google hà cuminciatu à vende chjavi di hardware (in altri palori, tokens) per simplificà u prucessu d'autorizazione di dui fatturi per accede à un contu cù i servizii di a cumpagnia. I tokens facenu a vita più faciule per l'utilizatori chì ponu scurdà di inserisce manualmente password incredibbilmente cumplesse, è ancu sguassate e dati d'identificazione da i dispositi: computer è smartphones. U sviluppu hè statu chjamatu Titan Security Key è hè stata pruposta cum'è un dispositivu USB è cù una cunnessione Bluetooth. Sicondu Google, dopu à l'iniziu di l'usu di tokens in a cumpagnia, durante tuttu u periodu dopu ùn ci era micca un fattu unicu di pirate di i cunti di l'impiegati. Alas, una vulnerabilità era sempre truvata in a Chjave di Sicurezza Titan, ma à u creditu di Google, hè stata scuperta in u protocolu Bluetooth Low Energy. I chjavi cunnessi à USB restanu invulnerabili à u pirate.
comu In u situ web di Google, alcuni tokens Bluetooth Titan Security Key sò stati trovati per avè una cunfigurazione Bluetooth Low Energy incorrecta. Questi tokens ponu esse identificati da i marcati nantu à u spinu di a chjave. Se u numeru in u reversu cuntene cumminazzioni T1 o T2, allora una tale chjave deve esse rimpiazzata. A cumpagnia hà decisu di cambià tali chjave gratuitamente. Altrimenti, u prezzu di emissione seria sin'à $ 25 più affrancatura.
E vulnerabilità scuperte permettenu à un attaccu di agisce in dui maneri. Prima, se qualchissia cunnosce u login è a password di a persona attaccata, ponu accede à u so contu à u mumentu chì cliccà nantu à u buttone di cunnessione nantu à u token. Per fà questu, l'attaccante deve esse in u spaziu di cumunicazione di a chjave - questu hè apprussimatamente finu à 10 metri. In altri palori, u dongle si cunnetta via Bluetooth micca solu à u dispusitivu di l'utilizatori, ma ancu à u dispositivu di l'attaccante, ingannendu cusì l'autentificazione à dui fattori di Google.
Un altru modu per sfruttà una vulnerabilità in Bluetooth per l'usu micca autorizatu di u token di Bluetooth Titan Security Key hè chì quandu una cunnessione hè stabilita trà a chjave è u dispositivu di l'utilizatore, l'attaccante pò cunnette à u dispositivu di a vittima sottu u preghjudiziu di un perifericu Bluetooth, per esempiu, un mouse o un teclatu. È dopu, gestisce u dispusitivu di a vittima cum'ellu vole. O in u primu casu o in u sicondu, ùn ci hè nunda di bonu per un utilizatore cù una chjave cumprumessa. Un forasteru hà l'uppurtunità di caccià e dati persunali, a fuga di quale a vittima ùn hà mancu sapè. Avete un token Bluetooth Titan Security Key? Cunnette è andate à , è u serviziu Google stessu determinarà se sta chjave hè affidabile o s'ellu ci vole à esse rimpiazzata.
Source: 3dnews.ru