Wiwit musim panas pungkasan, Google wiwit ngedol kunci hardware (kanthi tembung liya, token) kanggo nyederhanakake proses wewenang rong faktor kanggo mlebu menyang akun karo layanan perusahaan. Token nggawe urip luwih gampang kanggo pangguna sing bisa lali babagan ngetik sandhi sing luar biasa rumit kanthi manual, lan uga mbusak data identifikasi saka piranti: komputer lan smartphone. Pangembangan kasebut diarani Kunci Keamanan Titan lan ditawakake minangka piranti USB lan sambungan Bluetooth. Miturut Google, sawise wiwitan nggunakake token ing perusahaan, sajrone kabeh wektu sawise iku, ora ana kasunyatan hacking akun karyawan. Sayange, siji kerentanan isih ditemokake ing Kunci Keamanan Titan, nanging kanggo kredit Google, ditemokake ing protokol Bluetooth Low Energy. Tombol sing disambungake USB tetep ora kena hack.
Carane Ing situs web Google, sawetara token Bluetooth Titan Security Key ditemokake duwe konfigurasi Bluetooth Low Energy sing salah. Token iki bisa diidentifikasi kanthi tandha ing mburi kunci. Yen nomer ing sisih mbalikke ngemot kombinasi T1 utawa T2, tombol kuwi kudu diganti. Perusahaan mutusake kanggo ngganti tombol kasebut kanthi gratis. Yen ora, rega masalah bakal nganti $25 plus ongkos kirim.
Kerentanan sing ditemokake ngidini panyerang tumindak kanthi rong cara. Kaping pisanan, yen ana sing ngerti login lan sandhi saka wong sing diserang, dheweke bisa mlebu menyang akun kasebut nalika dheweke ngeklik tombol sambung ing token kasebut. Kanggo nindakake iki, panyerang kudu ana ing jarak komunikasi kunci - iki kira-kira nganti 10 meter. Ing tembung liya, dongle nyambung liwat Bluetooth ora mung menyang piranti pangguna, nanging uga menyang piranti panyerang, saéngga ngapusi otentikasi rong faktor Google.
Cara liya kanggo ngeksploitasi kerentanan ing Bluetooth kanggo nggunakake token Bluetooth Titan Security Key sing ora sah yaiku nalika sambungan digawe ing antarane tombol lan piranti pangguna, panyerang bisa nyambung menyang piranti korban kanthi kedok periferal Bluetooth, amarga contone, mouse utawa keyboard. Lan sawise iku, atur piranti korban kaya sing dikarepake. Ing kasus sing sepisanan utawa sing kapindho, ora ana sing apik kanggo pangguna kanthi kunci sing dikompromi. Wong njaba duwe kesempatan kanggo ngekstrak data pribadhi, bocor sing korban ora bakal ngerti. Apa sampeyan duwe token Bluetooth Titan Security Key? Sambungake lan pindhah menyang , lan layanan Google dhewe bakal nemtokake manawa kunci iki dipercaya utawa kudu diganti.
Source: 3dnews.ru