Od minulého leta začal Google predávať hardvérové kľúče (inými slovami tokeny), aby zjednodušil proces dvojfaktorovej autorizácie na prihlásenie do účtu v službách spoločnosti. Tokeny uľahčujú život používateľom, ktorí môžu zabudnúť na manuálne zadávanie neuveriteľne zložitých hesiel, ako aj odstraňovať identifikačné údaje zo zariadení: počítačov a smartfónov. Vývoj bol nazvaný Titan Security Key a bol ponúkaný ako USB zariadenie aj s Bluetooth pripojením. Podľa spoločnosti Google, po začatí používania tokenov v rámci spoločnosti, celý čas potom nenastal jediný fakt o hackovaní zamestnaneckých účtov. Bohužiaľ, jedna zraniteľnosť bola nájdená v bezpečnostnom kľúči Titan, ale ku cti spoločnosti Google, bola nájdená v protokole Bluetooth Low Energy. Kľúče pripojené cez USB sú stále imúnne voči hackingu.
Ako
Objavené zraniteľnosti umožňujú útočníkovi konať dvoma spôsobmi. Po prvé, ak niekto pozná prihlasovacie meno a heslo útočníka, môže sa prihlásiť do jeho účtu v momente stlačenia tlačidla pripojenia na tokene. Na to musí byť útočník v dosahu kľúčového spojenia – to je približne do 10 metrov. Inými slovami, Bluetooth kľúč sa pripája nielen k zariadeniu používateľa, ale aj k zariadeniu útočníka, čo oklame dvojfaktorovú autentifikáciu Google.
Ďalším spôsobom, ako využiť zraniteľnosť v Bluetooth na neoprávnené použitie tokenu Bluetooth Titan Security Key, je, že v čase nadviazania spojenia medzi hardvérovým kľúčom a zariadením používateľa sa útočník môže pripojiť k zariadeniu obete pod zámienkou periférneho zariadenia Bluetooth. , ako je napríklad myš alebo klávesnica. A potom spravujte zariadenie obete tak, ako si želá. Že v prvom prípade, že v druhom nie je pre používateľa s kompromitovaným kľúčom nič dobré. Cudzinec má možnosť vytiahnuť osobné údaje, o ktorých úniku obeť ani nevie. Máte bezpečnostný kľúč Bluetooth Titan? Zapojte ho a prejdite na
Zdroj: 3dnews.ru