Ekde la pasinta somero, Google komencis vendi aparatajn ŝlosilojn (alivorte, ĵetonojn) por simpligi la dufaktoran rajtigan procezon por ensaluti konton kun la servoj de la kompanio. Tokens faciligas la vivon por uzantoj, kiuj povas forgesi permane enigi nekredeble kompleksajn pasvortojn, kaj ankaŭ forigi identigajn datumojn de aparatoj: komputiloj kaj inteligentaj telefonoj. La evoluo estis nomita Titan Security Key kaj estis ofertita kaj kiel USB-aparato kaj kun Bluetooth-konekto. Laŭ Google, post la komenco de uzado de ĵetonoj ene de la kompanio, dum la tuta periodo post tio ne okazis eĉ unu fakto de hakado de dungitaj kontoj. Ve, unu vundebleco ankoraŭ estis trovita en la Titan Security Key, sed laŭ la kredito de Google, ĝi estis malkovrita en la Bluetooth Low Energy protokolo. USB-konektitaj ŝlosiloj restas nevundeblaj kontraŭ hakado.
Kiel En la retejo de Google, kelkaj ĵetonoj de Bluetooth Titan Security Key estis trovitaj havi malĝustan Bluetooth Low Energy agordon. Ĉi tiuj ĵetonoj povas esti identigitaj per markoj sur la dorso de la ŝlosilo. Se la nombro sur la dorsa flanko enhavas kombinaĵojn T1 aŭ T2, tiam tia ŝlosilo devas esti anstataŭigita. La firmao decidis ŝanĝi tiajn ŝlosilojn senpage. Alie, la eldonprezo estus ĝis $25 plus afranko.
La malkovritaj vundeblecoj permesas atakanton agi en du manieroj. Unue, se iu scias la ensaluton kaj pasvorton de la atakita persono, ili povas ensaluti en lian konton tuj kiam li klakas sur la konekti butonon sur la ĵetono. Por fari tion, la atakanto devas esti ene de la komunika gamo de la ŝlosilo - ĉi tio estas proksimume ĝis 10 metroj. Alivorte, la dongle konektas per Bluetooth ne nur al la aparato de la uzanto, sed ankaŭ al la aparato de la atakanto, tiel trompante la dufaktoran aŭtentikigon de Google.
Alia maniero ekspluati vundeblecon en Bludento por neaŭtorizita uzo de la Bluetooth Titan Security Key-ĵetono estas ke kiam konekto estas establita inter la ŝlosilo kaj la aparato de la uzanto, la atakanto povas konektiĝi al la aparato de la viktimo sub la alivestiĝo de Bluetooth ekstercentra, por ekzemple, muso aŭ klavaro. Kaj post tio, administru la aparaton de la viktimo kiel li deziras. Aŭ en la unua kazo aŭ en la dua, estas nenio bona por uzanto kun kompromitita ŝlosilo. Eksterulo havas la ŝancon ĉerpi personajn datumojn, pri kies liko la viktimo eĉ ne scios. Ĉu vi havas Bluetooth Titan Security Key-ĵetonon? Konektu ĝin kaj iru al , kaj la Google-servo mem determinos ĉu ĉi tiu ŝlosilo estas fidinda aŭ ĉu ĝi devas esti anstataŭigita.
fonto: 3dnews.ru