از تابستان گذشته، گوگل شروع به فروش کلیدهای سخت افزاری (به عبارت دیگر، توکن ها) کرد تا فرآیند مجوز دو مرحله ای برای ورود به حساب کاربری با خدمات شرکت را ساده کند. توکنها زندگی را برای کاربرانی آسانتر میکنند که میتوانند رمزهای عبور فوقالعاده پیچیده را فراموش کنند و همچنین دادههای شناسایی را از دستگاهها حذف کنند: رایانهها و تلفنهای هوشمند. این توسعه Titan Security Key نام داشت و هم به عنوان یک دستگاه USB و هم با اتصال بلوتوث ارائه شد. به گفته گوگل، پس از شروع استفاده از توکن ها در شرکت، در کل دوره پس از آن، حتی یک واقعیت هک حساب های کارمندان وجود نداشته است. افسوس که هنوز یک آسیبپذیری در کلید امنیتی Titan یافت شد، اما به اعتبار گوگل، در پروتکل بلوتوث کم انرژی کشف شد. کلیدهای متصل به USB در برابر هک آسیب ناپذیر می مانند.
مانند در وبسایت Google، برخی از نشانههای کلید امنیتی بلوتوث تایتان دارای پیکربندی نادرست بلوتوث کم مصرف هستند. این نشانه ها را می توان با علامت گذاری در پشت کلید شناسایی کرد. اگر عدد در سمت عقب حاوی ترکیبات T1 یا T2 باشد، چنین کلیدی باید جایگزین شود. این شرکت تصمیم گرفت چنین کلیدهایی را به صورت رایگان تغییر دهد. در غیر این صورت، قیمت صدور تا 25 دلار به اضافه هزینه پست خواهد بود.
آسیبپذیریهای کشفشده به مهاجم اجازه میدهد به دو روش عمل کند. در مرحله اول، اگر شخصی لاگین و رمز عبور فرد مورد حمله را بداند، می تواند در لحظه ای که روی دکمه اتصال روی توکن کلیک می کند، وارد حساب کاربری او شود. برای انجام این کار، مهاجم باید در محدوده ارتباطی کلید باشد - این تقریباً تا 10 متر است. به عبارت دیگر، دانگل از طریق بلوتوث نه تنها به دستگاه کاربر، بلکه به دستگاه مهاجم نیز متصل می شود و در نتیجه احراز هویت دو مرحله ای گوگل را فریب می دهد.
راه دیگر برای استفاده غیرمجاز از یک آسیبپذیری در بلوتوث برای استفاده غیرمجاز از رمز امنیتی تایتان بلوتوث این است که وقتی ارتباطی بین کلید و دستگاه کاربر برقرار میشود، مهاجم میتواند تحت پوشش یک دستگاه جانبی بلوتوث به دستگاه قربانی متصل شود. به عنوان مثال، یک ماوس یا صفحه کلید. و پس از آن، دستگاه قربانی را همانطور که میخواهد مدیریت کنید. چه در مورد اول و چه در مورد دوم، هیچ چیز خوبی برای کاربری با کلید در معرض خطر وجود ندارد. یک فرد خارجی این فرصت را دارد که داده های شخصی را استخراج کند که قربانی حتی از نشت آن اطلاعی ندارد. آیا توکن کلید امنیتی بلوتوث تایتان دارید؟ آن را وصل کنید و به آن بروید ، و سرویس Google خود تعیین می کند که آیا این کلید قابل اعتماد است یا نیاز به تعویض دارد.
منبع: 3dnews.ru