Sejak musim panas lalu, Google mula menjual kunci perkakasan (dengan kata lain, token) untuk memudahkan proses kebenaran dua faktor untuk log masuk ke akaun dengan perkhidmatan syarikat. Token menjadikan kehidupan lebih mudah bagi pengguna yang boleh melupakan memasukkan kata laluan yang sangat kompleks secara manual, dan juga mengalih keluar data pengenalan daripada peranti: komputer dan telefon pintar. Pembangunan itu dipanggil Kunci Keselamatan Titan dan ditawarkan sebagai peranti USB dan dengan sambungan Bluetooth. Menurut Google, selepas permulaan menggunakan token dalam syarikat, sepanjang tempoh selepas itu tidak ada satu pun fakta penggodaman akaun pekerja. Malangnya, satu kelemahan masih ditemui dalam Kunci Keselamatan Titan, tetapi untuk kredit Google, ia ditemui dalam protokol Tenaga Rendah Bluetooth. Kekunci yang disambungkan USB kekal kebal kepada penggodaman.
bagaimana
Kelemahan yang ditemui membolehkan penyerang bertindak dalam dua cara. Pertama, jika seseorang mengetahui log masuk dan kata laluan orang yang diserang, mereka boleh log masuk ke akaunnya sebaik sahaja dia mengklik butang sambung pada token. Untuk melakukan ini, penyerang mesti berada dalam julat komunikasi kunci - ini adalah kira-kira sehingga 10 meter. Dalam erti kata lain, dongle bersambung melalui Bluetooth bukan sahaja ke peranti pengguna, tetapi juga ke peranti penyerang, dengan itu memperdayakan pengesahan dua faktor Google.
Satu lagi cara untuk mengeksploitasi kerentanan dalam Bluetooth untuk penggunaan tanpa kebenaran token Kunci Keselamatan Bluetooth Titan ialah apabila sambungan diwujudkan antara kunci dan peranti pengguna, penyerang boleh menyambung ke peranti mangsa di bawah samaran peranti Bluetooth, untuk contohnya, tetikus atau papan kekunci. Dan selepas itu, uruskan peranti mangsa mengikut kehendaknya. Sama ada dalam kes pertama atau dalam kes kedua, tiada apa yang baik untuk pengguna dengan kunci yang terjejas. Orang luar mempunyai peluang untuk mengekstrak data peribadi, kebocoran yang tidak akan diketahui oleh mangsa. Adakah anda mempunyai token Kunci Keselamatan Titan Bluetooth? Sambungkannya dan pergi ke
Sumber: 3dnews.ru