Od prošlog ljeta Google je počeo prodavati hardverske ključeve (drugim riječima, tokene) kako bi pojednostavio postupak autorizacije u dva faktora za prijavu na račun s uslugama tvrtke. Tokeni olakšavaju život korisnicima koji mogu zaboraviti na ručno upisivanje nevjerojatno složenih lozinki, a također uklanjaju identifikacijske podatke s uređaja: računala i pametnih telefona. Razvoj je nazvan Titan Security Key i nudio se kao USB uređaj i s Bluetooth vezom. Prema Googleu, nakon početka korištenja tokena unutar tvrtke, tijekom cijelog razdoblja nakon toga nije bilo niti jedne činjenice hakiranja računa zaposlenika. Jao, jedna je ranjivost još uvijek pronađena u sigurnosnom ključu Titan, ali svaka čast Googleu, otkrivena je u Bluetooth Low Energy protokolu. USB spojeni ključevi ostaju neranjivi na hakiranje.
Kao
Otkrivene ranjivosti napadaču omogućuju djelovanje na dva načina. Prvo, ako netko zna prijavu i lozinku napadnute osobe, može se prijaviti na njegov račun čim klikne na gumb za povezivanje na tokenu. Da bi to učinio, napadač mora biti unutar komunikacijskog dometa ključa - to je otprilike do 10 metara. Drugim riječima, dongle se putem Bluetootha povezuje ne samo s uređajem korisnika, već i s uređajem napadača, čime se vara Googleova dvofaktorska autentifikacija.
Drugi način iskorištavanja ranjivosti u Bluetoothu za neovlaštenu upotrebu tokena sigurnosnog ključa Bluetooth Titan je taj da se, kada se uspostavi veza između ključa i korisničkog uređaja, napadač može povezati s uređajem žrtve pod krinkom Bluetooth periferije, za na primjer, miš ili tipkovnica. I nakon toga upravljajte žrtvinim uređajem kako želi. Ni u prvom ni u drugom slučaju, korisniku s kompromitiranim ključem ništa nije dobro. Autsajder ima priliku izvući osobne podatke za čije curenje žrtva neće ni znati. Imate li Bluetooth Titan sigurnosni ključ token? Spojite ga i idite na
Izvor: 3dnews.ru