Sejak musim panas lalu, Google mulai menjual kunci perangkat keras (dengan kata lain, token) untuk menyederhanakan proses otorisasi dua faktor untuk masuk ke akun dengan layanan perusahaan. Token membuat hidup lebih mudah bagi pengguna yang lupa memasukkan kata sandi yang sangat rumit secara manual, dan juga menghapus data identifikasi dari perangkat: komputer dan ponsel pintar. Pengembangan tersebut disebut Kunci Keamanan Titan dan ditawarkan sebagai perangkat USB dan dengan koneksi Bluetooth. Menurut Google, setelah dimulainya penggunaan token di dalam perusahaan, selama periode setelah itu tidak ada satu pun fakta peretasan akun karyawan. Sayangnya, satu kerentanan masih ditemukan di Kunci Keamanan Titan, namun berkat Google, kerentanan tersebut ditemukan di protokol Bluetooth Low Energy. Kunci yang terhubung ke USB tetap kebal terhadap peretasan.
Как Di situs web Google, beberapa token Kunci Keamanan Bluetooth Titan ditemukan memiliki konfigurasi Bluetooth Hemat Energi yang salah. Token ini dapat diidentifikasi dengan tanda di bagian belakang kunci. Jika angka di belakang berisi kombinasi T1 atau T2, maka kunci tersebut harus diganti. Perusahaan memutuskan untuk mengubah kunci tersebut secara gratis. Jika tidak, harga penerbitannya akan mencapai $25 ditambah ongkos kirim.
Kerentanan yang ditemukan memungkinkan penyerang bertindak dalam dua cara. Pertama, jika seseorang mengetahui login dan kata sandi orang yang diserang, mereka dapat masuk ke akunnya saat dia mengklik tombol sambungkan pada token. Untuk melakukan ini, penyerang harus berada dalam jangkauan komunikasi kunci - kira-kira hingga 10 meter. Dengan kata lain, dongle terhubung melalui Bluetooth tidak hanya ke perangkat pengguna, tetapi juga ke perangkat penyerang, sehingga menipu autentikasi dua faktor Google.
Cara lain untuk mengeksploitasi kerentanan dalam Bluetooth untuk penggunaan token Kunci Keamanan Bluetooth Titan yang tidak sah adalah ketika koneksi dibuat antara kunci dan perangkat pengguna, penyerang dapat terhubung ke perangkat korban dengan menyamar sebagai periferal Bluetooth, misalnya misalnya mouse atau keyboard. Dan setelah itu, kelola perangkat korban sesuai keinginannya. Baik dalam kasus pertama atau kedua, tidak ada yang baik bagi pengguna dengan kunci yang disusupi. Pihak luar memiliki kesempatan untuk mengekstrak data pribadi, yang kebocorannya bahkan tidak diketahui oleh korban. Apakah Anda memiliki token Kunci Keamanan Bluetooth Titan? Hubungkan dan pergi ke , dan layanan Google sendiri akan menentukan apakah kunci ini dapat diandalkan atau perlu diganti.
Sumber: 3dnews.ru