Sûnt ferline simmer begon Google hardware-kaaien te ferkeapjen (mei oare wurden, tokens) om it twa-faktor autorisaasjeproses te ferienfâldigjen foar it ynloggen op in akkount mei de tsjinsten fan it bedriuw. Tokens meitsje it libben makliker foar brûkers dy't kinne ferjitte oer it manuell ynfieren fan ongelooflijk komplekse wachtwurden, en ek identifikaasjegegevens fan apparaten ferwiderje: kompjûters en smartphones. De ûntwikkeling waard Titan Security Key neamd en waard sawol as USB-apparaat as mei in Bluetooth-ferbining oanbean. Neffens Google, nei it begjin fan it brûken fan tokens binnen it bedriuw, yn 'e hiele perioade dêrnei wie d'r gjin inkeld feit fan hacking fan wurknimmersakkounts. Och, ien kwetsberens waard noch fûn yn 'e Titan Security Key, mar nei Google's kredyt waard it ûntdutsen yn it Bluetooth Low Energy protokol. USB-ferbûne kaaien bliuwe ûnkwetsber foar hacking.
Hoe Op 'e Google-webside binne guon Bluetooth Titan Security Key-tokens fûn om in ferkearde Bluetooth Low Energy-konfiguraasje te hawwen. Dizze tokens kinne wurde identifisearre troch markearring op 'e rêch fan' e kaai. As it nûmer op 'e efterkant kombinaasjes T1 of T2 befettet, dan moat sa'n kaai ferfongen wurde. It bedriuw besleat sokke kaaien fergees te feroarjen. Oars soe de útjeftepriis oant $ 25 wêze plus porto.
De ûntdutsen kwetsberens kinne in oanfaller op twa manieren hannelje. As earste, as immen de oanmelding en wachtwurd fan 'e oanfallen persoan wit, kinne se ynlogge op syn akkount op it momint dat se op de ferbining knop op it token klikke. Om dit te dwaan, moat de oanfaller binnen it kommunikaasjeberik fan 'e kaai wêze - dit is sawat oant 10 meter. Mei oare wurden, de dongle ferbynt fia Bluetooth net allinich mei it apparaat fan 'e brûker, mar ek mei it apparaat fan' e oanfaller, en ferrifelet dêrmei de twa-faktora-autentikaasje fan Google.
In oare manier om in kwetsberens yn Bluetooth te eksploitearjen foar net autorisearre gebrûk fan it Bluetooth Titan Security Key-token is dat as der in ferbining wurdt makke tusken de kaai en it apparaat fan de brûker, de oanfaller kin ferbine mei it apparaat fan it slachtoffer ûnder it mom fan in Bluetooth-perifeare apparaat, foar bygelyks in mûs of toetseboerd. En dêrnei, beheare it apparaat fan it slachtoffer as hy wol. Of yn it earste gefal as yn it twadde is d'r neat goed foar in brûker mei in kompromittearre kaai. In bûtensteander hat de mooglikheid om persoanlike gegevens út te heljen, wêrfan it lek it slachtoffer net iens witte sil. Hawwe jo in Bluetooth Titan Security Key token? Ferbine it en gean nei , en de Google-tsjinst sels sil bepale oft dizze kaai betrouber is of oft it ferfongen wurde moat.
Boarne: 3dnews.ru