Siden sidste sommer begyndte Google at sælge hardwarenøgler (med andre ord tokens) for at forenkle to-faktor-autorisationsprocessen for at logge ind på en konto med virksomhedens tjenester. Tokens gør livet lettere for brugere, der kan glemme alt om manuelt at indtaste utroligt komplekse adgangskoder og også fjerne identifikationsdata fra enheder: computere og smartphones. Udviklingen hed Titan Security Key og blev tilbudt både som en USB-enhed og med en Bluetooth-forbindelse. Ifølge Google var der efter begyndelsen af at bruge tokens i virksomheden i hele perioden derefter ikke et eneste faktum om hacking af medarbejderkonti. Desværre blev der stadig fundet en sårbarhed i Titan-sikkerhedsnøglen, men til Googles ære blev den opdaget i Bluetooth Low Energy-protokollen. USB-tilsluttede nøgler forbliver usårlige over for hacking.
Som På Googles websted blev nogle Bluetooth Titan Security Key-tokens fundet at have en forkert Bluetooth Low Energy-konfiguration. Disse tokens kan identificeres ved markeringer på bagsiden af nøglen. Hvis tallet på bagsiden indeholder kombinationer T1 eller T2, skal en sådan nøgle udskiftes. Virksomheden besluttede at udskifte sådanne nøgler gratis. Ellers ville udstedelsesprisen være op til $25 plus porto.
De opdagede sårbarheder giver en angriber mulighed for at handle på to måder. For det første, hvis nogen kender login og adgangskode for den angrebne person, kan de logge ind på hans konto i det øjeblik, han klikker på forbindelsesknappen på tokenet. For at gøre dette skal angriberen være inden for nøglens kommunikationsrækkevidde - dette er cirka op til 10 meter. Med andre ord forbinder donglen via Bluetooth ikke kun til brugerens enhed, men også til angriberens enhed, og snyder derved Googles to-faktor-godkendelse.
En anden måde at udnytte en sårbarhed i Bluetooth til uautoriseret brug af Bluetooth Titan-sikkerhedsnøgle-tokenet er, at når der etableres en forbindelse mellem nøglen og brugerens enhed, kan angriberen oprette forbindelse til offerets enhed under dække af et Bluetooth-perifert udstyr, f. for eksempel en mus eller et tastatur. Og derefter administrere ofrets enhed, som han ønsker. Enten i det første tilfælde eller i det andet er der ikke noget godt for en bruger med en kompromitteret nøgle. En udefrakommende har mulighed for at udtrække personlige data, hvis lækage offeret ikke engang vil vide om. Har du et Bluetooth Titan Security Key-token? Tilslut den og gå til , og Google-tjenesten vil selv afgøre, om denne nøgle er pålidelig, eller om den skal udskiftes.
Kilde: 3dnews.ru