Sejak musim panas lalu, Google mula menjual kunci perkakasan (dengan kata lain, token) untuk memudahkan proses kebenaran dua faktor untuk log masuk ke akaun dengan perkhidmatan syarikat. Token menjadikan kehidupan lebih mudah bagi pengguna yang boleh melupakan memasukkan kata laluan yang sangat kompleks secara manual, dan juga mengalih keluar data pengenalan daripada peranti: komputer dan telefon pintar. Pembangunan itu dipanggil Kunci Keselamatan Titan dan ditawarkan sebagai peranti USB dan dengan sambungan Bluetooth. Menurut Google, selepas permulaan menggunakan token dalam syarikat, sepanjang tempoh selepas itu tidak ada satu pun fakta penggodaman akaun pekerja. Malangnya, satu kelemahan masih ditemui dalam Kunci Keselamatan Titan, tetapi untuk kredit Google, ia ditemui dalam protokol Tenaga Rendah Bluetooth. Kekunci yang disambungkan USB kekal kebal kepada penggodaman.
bagaimana Di tapak web Google, beberapa token Kunci Keselamatan Bluetooth Titan didapati mempunyai konfigurasi Tenaga Rendah Bluetooth yang salah. Token ini boleh dikenal pasti dengan tanda di belakang kunci. Jika nombor di bahagian belakang mengandungi kombinasi T1 atau T2, maka kunci sedemikian mesti diganti. Syarikat itu memutuskan untuk menukar kunci sedemikian secara percuma. Jika tidak, harga terbitan akan menjadi sehingga $25 ditambah kos pos.
Kelemahan yang ditemui membolehkan penyerang bertindak dalam dua cara. Pertama, jika seseorang mengetahui log masuk dan kata laluan orang yang diserang, mereka boleh log masuk ke akaunnya sebaik sahaja dia mengklik butang sambung pada token. Untuk melakukan ini, penyerang mesti berada dalam julat komunikasi kunci - ini adalah kira-kira sehingga 10 meter. Dalam erti kata lain, dongle bersambung melalui Bluetooth bukan sahaja ke peranti pengguna, tetapi juga ke peranti penyerang, dengan itu memperdayakan pengesahan dua faktor Google.
Satu lagi cara untuk mengeksploitasi kerentanan dalam Bluetooth untuk penggunaan tanpa kebenaran token Kunci Keselamatan Bluetooth Titan ialah apabila sambungan diwujudkan antara kunci dan peranti pengguna, penyerang boleh menyambung ke peranti mangsa di bawah samaran peranti Bluetooth, untuk contohnya, tetikus atau papan kekunci. Dan selepas itu, uruskan peranti mangsa mengikut kehendaknya. Sama ada dalam kes pertama atau dalam kes kedua, tiada apa yang baik untuk pengguna dengan kunci yang terjejas. Orang luar mempunyai peluang untuk mengekstrak data peribadi, kebocoran yang tidak akan diketahui oleh mangsa. Adakah anda mempunyai token Kunci Keselamatan Titan Bluetooth? Sambungkannya dan pergi ke , dan perkhidmatan Google sendiri akan menentukan sama ada kunci ini boleh dipercayai atau sama ada ia perlu diganti.
Sumber: 3dnews.ru