Od loňského léta začal Google prodávat hardwarové klíče (jinými slovy tokeny), aby zjednodušil proces dvoufaktorové autorizace pro přihlášení k účtu u služeb společnosti. Tokeny usnadňují život uživatelům, kteří mohou zapomenout na ruční zadávání neuvěřitelně složitých hesel a také odstraňovat identifikační údaje ze zařízení: počítačů a chytrých telefonů. Vývoj se jmenoval Titan Security Key a byl nabízen jak jako USB zařízení, tak s Bluetooth připojením. Podle společnosti Google po zahájení používání tokenů ve společnosti po celou dobu poté nedošlo k jedinému hacknutí účtů zaměstnanců. Bohužel, jedna zranitelnost byla nalezena v bezpečnostním klíči Titan, ale ke cti Google, byla nalezena v protokolu Bluetooth Low Energy. Klíče připojené přes USB jsou stále imunní vůči hackování.
Jak na webu Google se ukázalo, že některé tokeny bezpečnostního klíče Bluetooth Titan mají nesprávnou konfiguraci Bluetooth Low Energy. Tyto žetony lze identifikovat podle značek na zadní straně klíče. Pokud číslo na zadní straně obsahuje kombinace T1 nebo T2, je nutné takový klíč vyměnit. Společnost se rozhodla takové klíče změnit zdarma. Jinak by emisní cena byla až 25 USD plus poštovné.
Objevená zranitelnost umožňuje útočníkovi jednat dvěma způsoby. Za prvé, pokud někdo zná přihlašovací jméno a heslo útočníka, může se přihlásit k jeho účtu v okamžiku stisknutí tlačítka připojení na tokenu. K tomu musí být útočník v dosahu klíčového spojení – to je přibližně do 10 metrů. Jinými slovy, Bluetooth klíč se připojí nejen k zařízení uživatele, ale také k zařízení útočníka, což klame dvoufaktorovou autentizaci Googlu.
Dalším způsobem, jak využít zranitelnost v Bluetooth pro neoprávněné použití tokenu Bluetooth Titan Security Key, je to, že v okamžiku navázání spojení mezi hardwarovým klíčem a zařízením uživatele se útočník může připojit k zařízení oběti pod rouškou periferního zařízení Bluetooth. , jako je myš nebo klávesnice. A poté spravujte zařízení oběti, jak si přeje. Že v prvním případě, že v druhém není pro uživatele s kompromitovaným klíčem nic dobrého. Zvenčí má možnost získat osobní údaje, o jejichž úniku oběť ani neví. Máte bezpečnostní klíč Bluetooth Titan? Zapojte jej a přejděte na a služba Google sama určí, zda je tento klíč spolehlivý, nebo je třeba jej vyměnit.
Zdroj: 3dnews.ru