Zënter dem leschte Summer huet Google ugefaang Hardwareschlësselen ze verkafen (an anere Wierder, Tokens) fir den Zwee-Faktor Autorisatiounsprozess ze vereinfachen fir op e Kont mat de Servicer vun der Firma ze loggen. Tokens maachen d'Liewen méi einfach fir d'Benotzer, déi iwwer manuell onheemlech komplex Passwierder kënnen vergiessen, an och Identifikatiounsdaten vun Apparater läschen: Computeren a Smartphones. D'Entwécklung gouf Titan Security Key genannt a gouf souwuel als USB-Apparat a mat enger Bluetooth Verbindung ugebueden. Laut Google, nom Ufank vun der Benotzung vun Tokens bannent der Firma, während der ganzer Period duerno gouf et net eng eenzeg Tatsaach vum Hacking vun de Mataarbechterkonten. Och, eng Schwachstelle gouf nach ëmmer am Titan Sécherheetsschlëssel fonnt, awer zum Kreditt vu Google gouf se am Bluetooth Low Energy Protokoll entdeckt. Schlësselen, déi iwwer USB verbonne sinn, bleiwe onschëlleg fir Hacking.
wéi Op der Google Websäit goufen e puer Bluetooth Titan Security Key Tokens fonnt fir eng falsch Bluetooth Low Energy Konfiguratioun ze hunn. Dës Stongen kënnen duerch Marquage op de Réck vum Schlëssel identifizéiert ginn. Wann d'Zuel op der Récksäit Kombinatiounen T1 oder T2 enthält, da muss esou e Schlëssel ersat ginn. D'Firma huet decidéiert esou Schlësselen gratis z'änneren. Soss wier den Emissiounspräis bis zu $25 plus Porto.
Déi entdeckte Schwachstelle erlaben en Ugräifer op zwou Weeër ze handelen. Als éischt, wann iergendeen de Login an d'Passwuert vun der attackéierter Persoun kennt, kënne se op säi Kont aloggen dee Moment wou hien op de Connect Knäppchen um Token klickt. Fir dëst ze maachen, muss den Ugräifer am Kommunikatiounsberäich vum Schlëssel sinn - dat ass ongeféier bis zu 10 Meter. An anere Wierder, den Dongle verbënnt iwwer Bluetooth net nëmmen op den Apparat vum Benotzer, awer och op den Apparat vum Ugräifer, an doduerch d'Zwee-Faktor Authentifikatioun vu Google täuschen.
Eng aner Manéier fir eng Schwachstelle am Bluetooth fir onerlaabt Notzung vum Bluetooth Titan Security Key Token auszenotzen ass datt wann eng Verbindung tëscht dem Schlëssel an dem Benotzer säin Apparat etabléiert ass, den Ugräifer mam Apparat vum Affer ënner dem Deckmantel vun engem Bluetooth Peripherie verbënnt, fir zum Beispill eng Maus oder Tastatur. An duerno, verwalten den Apparat vum Affer wéi hie wëllt. Entweder am éischte Fall oder am zweeten ass et näischt Gutt fir e Benotzer mat engem kompromittéierte Schlëssel. En Auslänner huet d'Méiglechkeet perséinlech Donnéeën ze extrahieren, vun deenen d'Affer net emol kennt. Hutt Dir e Bluetooth Titan Security Key Token? Connect et a gitt op , an de Google Service selwer wäert bestëmmen ob dëse Schlëssel zouverlässeg ass oder ob et muss ersat ginn.
Source: 3dnews.ru