Ers yr haf diwethaf, mae Google wedi dechrau gwerthu allweddi caledwedd (mewn geiriau eraill, tocynnau) i symleiddio'r broses awdurdodi dau ffactor ar gyfer mewngofnodi i gyfrif gyda gwasanaethau'r cwmni. Mae tocynnau'n gwneud bywyd yn haws i ddefnyddwyr sy'n gallu anghofio am fynd i mewn i gyfrineiriau hynod gymhleth â llaw, a hefyd yn tynnu data adnabod o ddyfeisiau: cyfrifiaduron a ffonau smart. Enw'r datblygiad oedd Titan Security Key ac fe'i cynigiwyd fel dyfais USB a chyda chysylltiad Bluetooth. Yn ôl Google, ar ôl dechrau defnyddio tocynnau o fewn y cwmni, yn ystod y cyfnod cyfan ar ôl hynny nid oedd un ffaith o hacio cyfrifon gweithwyr. Ysywaeth, darganfuwyd un bregusrwydd o hyd yn Allwedd Ddiogelwch Titan, ond er clod i Google, fe'i darganfuwyd ym mhrotocol Ynni Isel Bluetooth. Mae allweddi sy'n gysylltiedig â USB yn parhau i fod yn agored i gael eu hacio.
Fel Ar wefan Google, canfuwyd bod gan rai tocynnau Allwedd Ddiogelwch Bluetooth Titan gyfluniad Egni Isel Bluetooth anghywir. Gellir adnabod y tocynnau hyn trwy farciau ar gefn yr allwedd. Os yw'r rhif ar yr ochr arall yn cynnwys cyfuniadau T1 neu T2, yna rhaid disodli allwedd o'r fath. Penderfynodd y cwmni newid allweddi o'r fath yn rhad ac am ddim. Fel arall, byddai'r pris dosbarthu hyd at $25 ynghyd â phostio.
Mae'r gwendidau a ddarganfuwyd yn caniatáu i ymosodwr weithredu mewn dwy ffordd. Yn gyntaf, os yw rhywun yn gwybod mewngofnodi a chyfrinair y person yr ymosodwyd arno, gallant fewngofnodi i'w gyfrif yr eiliad y mae'n clicio ar y botwm cysylltu ar y tocyn. I wneud hyn, rhaid i'r ymosodwr fod o fewn ystod cyfathrebu'r allwedd - mae hyn tua hyd at 10 metr. Mewn geiriau eraill, mae'r dongl yn cysylltu trwy Bluetooth nid yn unig â dyfais y defnyddiwr, ond hefyd â dyfais yr ymosodwr, a thrwy hynny dwyllo dilysiad dau ffactor Google.
Ffordd arall o fanteisio ar fregusrwydd yn Bluetooth ar gyfer defnydd anawdurdodedig o'r tocyn Allwedd Diogelwch Titan Bluetooth yw pan sefydlir cysylltiad rhwng yr allwedd a dyfais y defnyddiwr, gall yr ymosodwr gysylltu â dyfais y dioddefwr dan gochl perifferol Bluetooth, er enghraifft, llygoden neu fysellfwrdd. Ac ar ôl hynny, rheolwch ddyfais y dioddefwr fel y mae'n dymuno. Naill ai yn yr achos cyntaf neu yn yr ail, nid oes dim byd da i ddefnyddiwr sydd ag allwedd dan fygythiad. Mae rhywun o'r tu allan yn cael y cyfle i dynnu data personol, na fydd y dioddefwr hyd yn oed yn gwybod amdano. Oes gennych chi docyn Allwedd Ddiogelwch Titan Bluetooth? Cysylltwch ef ac ewch i , a bydd gwasanaeth Google ei hun yn penderfynu a yw'r allwedd hon yn ddibynadwy neu a oes angen ei disodli.
Ffynhonnell: 3dnewyddion.ru