Өткен жаздан бастап Google компания қызметтерімен тіркелгіге кіру үшін екі факторлы авторизациялау процесін жеңілдету үшін аппараттық кілттерді (басқаша айтқанда, токендерді) сата бастады. Токендер керемет күрделі құпия сөздерді қолмен енгізуді ұмыта алатын, сондай-ақ құрылғылардан: компьютерлер мен смартфондардан сәйкестендіру деректерін жоя алатын пайдаланушылардың өмірін жеңілдетеді. Әзірлеу Titan қауіпсіздік кілті деп аталды және USB құрылғысы ретінде де, Bluetooth қосылымымен де ұсынылды. Google мәліметтері бойынша, компания ішінде токендерді қолдана бастағаннан кейін, одан кейінгі бүкіл уақыт ішінде қызметкерлердің есептік жазбаларын бұзу фактілері болған жоқ. Өкінішке орай, бір осалдық әлі де Titan қауіпсіздік кілтінде табылды, бірақ Google компаниясының сенімі бойынша ол Bluetooth Low Energy протоколында табылды. USB арқылы жалғанған кілттер бұзушыларға зиянсыз болып қалады.
қалай Google веб-сайтында кейбір Bluetooth Titan қауіпсіздік кілтінің таңбалауыштарында Bluetooth төмен қуат конфигурациясы дұрыс емес екені анықталды. Бұл белгілерді кілттің артқы жағындағы белгілер арқылы анықтауға болады. Егер артқы жағындағы нөмірде T1 немесе T2 комбинациялары болса, онда мұндай кілтті ауыстыру қажет. Компания мұндай кілттерді тегін ауыстыруды шешті. Әйтпесе, шығарылым бағасы пошта ақысын қосқанда $25 дейін болады.
Табылған осалдықтар шабуылдаушыға екі жолмен әрекет етуге мүмкіндік береді. Біріншіден, егер біреу шабуыл жасаған адамның логині мен паролін білсе, ол таңбалауыштағы қосылу түймесін басқан сәтте оның есептік жазбасына кіре алады. Мұны істеу үшін шабуылдаушы кілттің байланыс ауқымында болуы керек - бұл шамамен 10 метрге дейін. Басқаша айтқанда, қосқыш Bluetooth арқылы пайдаланушының құрылғысына ғана емес, сонымен қатар шабуылдаушының құрылғысына қосылып, Google-дың екі факторлы аутентификациясын алдайды.
Bluetooth Titan қауіпсіздік кілтінің таңбалауышын рұқсатсыз пайдалану үшін Bluetooth жүйесіндегі осалдықты пайдаланудың тағы бір жолы - кілт пен пайдаланушының құрылғысы арасында байланыс орнатылғанда, шабуылдаушы жәбірленушінің құрылғысына Bluetooth перифериялық құрылғысын жасырып қосыла алады. мысалы, тінтуір немесе пернетақта. Содан кейін жәбірленушінің құрылғысын оның қалауы бойынша басқарыңыз. Бірінші жағдайда да, екіншісінде де кілті бұзылған пайдаланушы үшін жақсы ештеңе жоқ. Бөтен адамның жеке деректерді алу мүмкіндігі бар, олардың ағып кетуі туралы жәбірленуші тіпті білмейді. Сізде Bluetooth Titan қауіпсіздік кілті белгісі бар ма? Оны қосыңыз және өтіңіз , ал Google қызметінің өзі бұл кілттің сенімділігін немесе оны ауыстыру қажеттігін анықтайды.
Ақпарат көзі: 3dnews.ru