Depuis l’été dernier, Google a commencé à vendre des clés matérielles (c’est-à-dire des jetons) pour simplifier le processus d’autorisation à deux facteurs pour se connecter à un compte auprès des services de l’entreprise. Les jetons facilitent la vie des utilisateurs qui peuvent oublier la saisie manuelle de mots de passe incroyablement complexes, et suppriment également les données d'identification des appareils : ordinateurs et smartphones. Le développement s'appelait Titan Security Key et était proposé à la fois sous forme de périphérique USB et avec une connexion Bluetooth. Selon Google, après le début de l'utilisation des jetons au sein de l'entreprise, pendant toute la période qui a suivi, il n'y a eu aucun fait de piratage des comptes des employés. Hélas, une vulnérabilité a encore été trouvée dans la clé de sécurité Titan, mais c’est le mérite de Google, elle a été découverte dans le protocole Bluetooth Low Energy. Les clés connectées par USB restent invulnérables au piratage.
Comme Sur le site Web de Google, certains jetons Bluetooth Titan Security Key présentaient une configuration Bluetooth Low Energy incorrecte. Ces jetons peuvent être identifiés par des marquages au dos de la clé. Si le numéro au verso contient des combinaisons T1 ou T2, alors une telle clé doit être remplacée. L'entreprise a décidé de changer ces clés gratuitement. Sinon, le prix d'émission s'élèverait à 25 $ plus les frais de port.
Les vulnérabilités découvertes permettent à un attaquant d'agir de deux manières. Premièrement, si quelqu'un connaît le login et le mot de passe de la personne attaquée, il peut se connecter à son compte au moment où il clique sur le bouton de connexion du token. Pour ce faire, l'attaquant doit se trouver à portée de communication de la clé, soit environ 10 mètres. En d’autres termes, le dongle se connecte via Bluetooth non seulement à l’appareil de l’utilisateur, mais également à celui de l’attaquant, trompant ainsi l’authentification à deux facteurs de Google.
Une autre façon d'exploiter une vulnérabilité de Bluetooth pour une utilisation non autorisée du jeton Bluetooth Titan Security Key est que lorsqu'une connexion est établie entre la clé et l'appareil de l'utilisateur, l'attaquant peut se connecter à l'appareil de la victime sous le couvert d'un périphérique Bluetooth, par exemple. par exemple, une souris ou un clavier. Et après cela, gérez l’appareil de la victime comme elle le souhaite. Que ce soit dans le premier cas ou dans le second, il n’y a rien de bon pour un utilisateur dont la clé est compromise. Un étranger a la possibilité d'extraire des données personnelles dont la victime ne sera même pas au courant de la fuite. Avez-vous un jeton de clé de sécurité Bluetooth Titan ? Connectez-le et allez à , et le service Google déterminera lui-même si cette clé est fiable ou si elle doit être remplacée.
Source: 3dnews.ru