Kopš pagājušās vasaras Google sāka pārdot aparatūras atslēgas (citiem vārdiem sakot, marķierus), lai vienkāršotu divu faktoru autorizācijas procesu, lai pieteiktos kontā, izmantojot uzņēmuma pakalpojumus. Tokeni atvieglo dzīvi lietotājiem, kuri var aizmirst par neticami sarežģītu paroļu manuālu ievadīšanu, kā arī noņem identifikācijas datus no ierīcēm: datoriem un viedtālruņiem. Izstrāde tika saukta par Titan Security Key un tika piedāvāta gan kā USB ierīce, gan ar Bluetooth savienojumu. Kā norāda Google, pēc žetonu lietošanas uzsākšanas uzņēmuma iekšienē visā laika periodā pēc tam nav bijis neviena darbinieku kontu uzlaušanas fakta. Diemžēl Titāna drošības atslēgā joprojām tika atrasta viena ievainojamība, taču, pateicoties Google, tā tika atklāta Bluetooth Low Energy protokolā. Atslēgas, kas pievienotas, izmantojot USB, joprojām ir neaizsargātas pret uzlaušanu.
Kā Google vietnē dažiem Bluetooth Titan drošības atslēgas marķieriem tika konstatēta nepareiza Bluetooth Low Energy konfigurācija. Šos žetonus var identificēt pēc marķējumiem atslēgas aizmugurē. Ja cipars otrā pusē satur kombinācijas T1 vai T2, tad šāda atslēga ir jāaizstāj. Uzņēmums nolēma šādas atslēgas nomainīt bez maksas. Pretējā gadījumā emisijas cena būtu līdz USD 25 plus pasta izdevumi.
Atklātās ievainojamības ļauj uzbrucējam rīkoties divējādi. Pirmkārt, ja kāds zina uzbrukušās personas pieteikumvārdu un paroli, viņš var pieteikties viņa kontā brīdī, kad viņš noklikšķina uz marķiera savienojuma pogas. Lai to izdarītu, uzbrucējam jāatrodas atslēgas sakaru diapazonā - tas ir aptuveni līdz 10 metriem. Citiem vārdiem sakot, sargspraudnis, izmantojot Bluetooth, savienojas ne tikai ar lietotāja ierīci, bet arī ar uzbrucēja ierīci, tādējādi maldinot Google divu faktoru autentifikāciju.
Vēl viens veids, kā izmantot Bluetooth ievainojamību, lai nesankcionēti izmantotu Bluetooth Titan drošības atslēgas marķieri, ir tas, ka tad, kad tiek izveidots savienojums starp atslēgu un lietotāja ierīci, uzbrucējs var izveidot savienojumu ar upura ierīci, aizsedzot Bluetooth perifērijas ierīci. piemēram, peli vai tastatūru. Un pēc tam pārvaldiet cietušā ierīci, kā viņš vēlas. Vai nu pirmajā, vai otrajā gadījumā, lietotājam ar apdraudētu atslēgu nekas nav labs. Personai no malas ir iespēja izvilkt personas datus, par kuru noplūdi cietušais nemaz nezinās. Vai jums ir Bluetooth Titan drošības atslēgas marķieris? Pievienojiet to un dodieties uz , un Google pakalpojums pats noteiks, vai šī atslēga ir uzticama vai arī tā ir jānomaina.
Avots: 3dnews.ru