Google wird 'löchrige' Bluetooth Titan Security Keys für den Zugang zu Konten kostenlos ersetzen.

Seit dem Sommer letzten Jahres verkauft Google Hardware-Schlüssel (auch Tokens genannt), um den Prozess der Zwei-Faktor-Authentifizierung für den Zugang zu den Google-Diensten zu vereinfachen. Diese Tokens erleichtern den Nutzern das Leben, indem sie das manuelle Eingeben von unglaublich komplexen Passwörtern überflüssig machen und gleichzeitig die Identifikationsdaten von Geräten wie Computern und Smartphones entfernen. Die Entwicklung trägt den Namen Titan Security Key und ist sowohl als USB-Gerät als auch über Bluetooth erhältlich. Laut Google gab es seit der Einführung dieser Tokens innerhalb des Unternehmens keinen einzigen Fall von Hacking der Konten von Mitarbeitern. Leider wurde eine Schwachstelle im Titan Security Key entdeckt, jedoch gebührt Google die Ehre, dass diese im Bluetooth Low Energy Protokoll gefunden wurde. USB-gestützte Schlüssel bleiben weiterhin unverwundbar gegen Hacks.

Google wird 'löchrige' Bluetooth Titan Security Keys für den Zugang zu Konten kostenlos ersetzen.

Wie wird berichtet, Auf der Google-Website wurden einige Bluetooth Titan Security Keys mit einer fehlerhaften Bluetooth Low Energy-Konfiguration identifiziert. Diese Tokens sind an der Kennzeichnung auf der Rückseite des Schlüssels zu erkennen. Wenn die Seriennummer auf der Rückseite die Kombinationen T1 oder T2 enthält, muss der Schlüssel ersetzt werden. Das Unternehmen hat beschlossen, solche Schlüssel kostenlos auszutauschen. Andernfalls würde der Austausch bis zu 25 $ plus Versandkosten kosten.

Die entdeckten Schwachstellen ermöglichen es Angreifern, auf zwei Arten vorzugehen. Erstens, wenn jemand den Benutzernamen und das Passwort des Opfers kennt, kann er in dessen Konto einloggen, wenn der Benutzer die Verbindungstaste am Token drückt. Hierfür muss der Angreifer sich innerhalb der Reichweite des Schlüssels befinden – das sind etwa 10 Meter. Mit anderen Worten, der Schlüssel verbindet sich über Bluetooth nicht nur mit dem Gerät des Benutzers, sondern auch mit dem Gerät des Angreifers, wodurch die Zwei-Faktor-Authentifizierung von Google umgangen wird.

Google wird 'löchrige' Bluetooth Titan Security Keys für den Zugang zu Konten kostenlos ersetzen.

Eine weitere Möglichkeit, die Schwachstelle von Bluetooth für den unbefugten Zugriff auf den Bluetooth Titan Security Key zu nutzen, besteht darin, dass der Angreifer sich während der Verbindung zwischen dem Schlüssel und dem Benutzergerät als Bluetooth-Gerät ausgibt, beispielsweise als Maus oder Tastatur. Sobald dies geschehen ist, kann der Angreifer das Gerät des Opfers nach Belieben kontrollieren. In beiden Fällen wird es für den Benutzer mit einem kompromittierten Schlüssel nicht gut ausgehen. Unbefugte Personen erhalten die Möglichkeit, persönliche Daten zu extrahieren, von deren Leck das Opfer möglicherweise nichts mitbekommt. Haben Sie einen Bluetooth Titan Security Key? Schließen Sie ihn an und besuchen Sie diesem Link verfügbar, und der Google-Dienst erkennt automatisch, ob dieser Schlüssel vertrauenswürdig ist oder ob er ersetzt werden muss.



Quelle: 3dnews.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster