Od loňského léta začal Google prodávat hardwarové klíče (jinými slovy tokeny), aby zjednodušil proces dvoufaktorové autorizace pro přihlášení k účtu u služeb společnosti. Tokeny usnadňují život uživatelům, kteří mohou zapomenout na ruční zadávání neuvěřitelně složitých hesel a také odstraňovat identifikační údaje ze zařízení: počítačů a chytrých telefonů. Vývoj se jmenoval Titan Security Key a byl nabízen jak jako USB zařízení, tak s Bluetooth připojením. Podle společnosti Google po zahájení používání tokenů ve společnosti po celou dobu poté nedošlo k jedinému hacknutí účtů zaměstnanců. Bohužel, jedna zranitelnost byla nalezena v bezpečnostním klíči Titan, ale ke cti Google, byla nalezena v protokolu Bluetooth Low Energy. Klíče připojené přes USB jsou stále imunní vůči hackování.
Jak
Objevená zranitelnost umožňuje útočníkovi jednat dvěma způsoby. Za prvé, pokud někdo zná přihlašovací jméno a heslo útočníka, může se přihlásit k jeho účtu v okamžiku stisknutí tlačítka připojení na tokenu. K tomu musí být útočník v dosahu klíčového spojení – to je přibližně do 10 metrů. Jinými slovy, Bluetooth klíč se připojí nejen k zařízení uživatele, ale také k zařízení útočníka, což klame dvoufaktorovou autentizaci Googlu.
Dalším způsobem, jak využít zranitelnost v Bluetooth pro neoprávněné použití tokenu Bluetooth Titan Security Key, je to, že v okamžiku navázání spojení mezi hardwarovým klíčem a zařízením uživatele se útočník může připojit k zařízení oběti pod rouškou periferního zařízení Bluetooth. , jako je myš nebo klávesnice. A poté spravujte zařízení oběti, jak si přeje. Že v prvním případě, že v druhém není pro uživatele s kompromitovaným klíčem nic dobrého. Zvenčí má možnost získat osobní údaje, o jejichž úniku oběť ani neví. Máte bezpečnostní klíč Bluetooth Titan? Zapojte jej a přejděte na
Zdroj: 3dnews.ru