Google asendab tasuta «auku» oma Bluetooth Titan Security Key seadmed, millega pääseb kontole sisse

Eelmisel suvel hakkas Google müüma riistvaralisi võtmeid (teise nimega - tokenid) mitmeastmelise autentimise protsessi lihtsustamiseks, et siseneda ettevõtte teenustesse. Tokenid muudavad elu lihtsamaks kasutajatele, kes võivad unustada tohutult keeruliste paroolide käsitsi sisestamise, samuti eemaldavad identifitseerimisandmed seadmetelt: arvutitelt ja nutitelefonidelt. Arendus sai nimeks Titan Security Key ja seda pakuti nii USB-seadmest kui ka Bluetoothi-ühendusega. Google'i sõnul ei ole pärast tokenite kasutuselevõttu ettevõttes olnud ühtegi juhtumit, kus töötajate kontod oleksid olnud häkitud. Kahjuks leiti Titan Security Key's siiski üks haavatavus, kuid Google'i auks avastati see Bluetooth Low Energy protokollis. USB-ühendusega võtmed jäävad endiselt häkkimisvõimetuks.

Google asendab tasuta «auku» oma Bluetooth Titan Security Key seadmed, millega pääseb kontole sisse

Kuidas teated Google'i veebilehel tuvastati, et mõned Bluetooth Titan Security Key'd on valesti seadistatud Bluetooth Low Energy'ga. Need võtmed on tuvastatavad nende tagaküljel oleva märgise järgi. Kui tagaküljel on numbris kombinatsioonid T1 või T2, tuleb selline võti vahetada. Ettevõte otsustas neid võtmeid tasuta asendada. Vastasel juhul oleks küsimuse hind ulatunud kuni 25 dollarini pluss saatmiskulud.

Tuvastatud haavatavused võimaldavad ründajal tegutseda kahes suunas. Esiteks, kui keegi teab ründatava sisselogimist ja parooli, saab ta siseneda tema kontole just sel ajal, kui nuppu ühendamiseks võtme peal vajutatakse. Selleks peab ründaja olema võtme suhtlusraadiuses — see on umbes 10 meetrit. Teisisõnu, võti Bluetoothi kaudu ühendub mitte ainult kasutaja seadmega, vaid ka ründaja seadmega, pettes sellega Google'i kahefaktorilist autentimist.

Google asendab tasuta «auku» oma Bluetooth Titan Security Key seadmed, millega pääseb kontole sisse

Teine võimalus Bluetoothi tõrke kasutamiseks Bluetooth Titan Security Key tokeni volitamata kasutamiseks seisneb selles, et ühenduse loomise hetkel võib ründaja, esinedes Bluetoothi perifeeriana, näiteks hiire või klaviatuurina, ühenduda kasutaja seadmega. Pärast seda võib ta seadmes teha, mida soovib. Nii ühes kui teises olukorras pole kompromiteeritud võtmega kasutaja jaoks head. Kolmandatel isikutel avaneb võimalus isikuandmeid välja tõmmata, millest ohver isegi teadlik ei ole. Kas teil on Bluetooth Titan Security Key token? Ühendage see ja minge . Seal on kirjeldatud arhitektuuri, ning Google teenus määrab automaatselt, kas see võtme on usaldusväärne või tuleb see välja vahetada.



Allikas: 3dnews.ru
Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster