Od minulého leta začal Google predávať hardvérové kľúče (inými slovami tokeny), aby zjednodušil proces dvojfaktorovej autorizácie na prihlásenie do účtu v službách spoločnosti. Tokeny uľahčujú život používateľom, ktorí môžu zabudnúť na manuálne zadávanie neuveriteľne zložitých hesiel, ako aj odstraňovať identifikačné údaje zo zariadení: počítačov a smartfónov. Vývoj bol nazvaný Titan Security Key a bol ponúkaný ako USB zariadenie aj s Bluetooth pripojením. Podľa spoločnosti Google, po začatí používania tokenov v rámci spoločnosti, celý čas potom nenastal jediný fakt o hackovaní zamestnaneckých účtov. Bohužiaľ, jedna zraniteľnosť bola nájdená v bezpečnostnom kľúči Titan, ale ku cti spoločnosti Google, bola nájdená v protokole Bluetooth Low Energy. Kľúče pripojené cez USB sú stále imúnne voči hackingu.
Ako na webovej stránke Google sa ukázalo, že niektoré tokeny bezpečnostného kľúča Bluetooth Titan majú nesprávnu konfiguráciu Bluetooth Low Energy. Tieto žetóny možno identifikovať podľa značiek na zadnej strane kľúča. Ak číslo na zadnej strane obsahuje kombinácie T1 alebo T2, potom je potrebné takýto kľúč vymeniť. Spoločnosť sa rozhodla takéto kľúče bezplatne zmeniť. V opačnom prípade by emisná cena bola až 25 USD plus poštovné.
Objavené zraniteľnosti umožňujú útočníkovi konať dvoma spôsobmi. Po prvé, ak niekto pozná prihlasovacie meno a heslo útočníka, môže sa prihlásiť do jeho účtu v momente stlačenia tlačidla pripojenia na tokene. Na to musí byť útočník v dosahu kľúčového spojenia – to je približne do 10 metrov. Inými slovami, Bluetooth kľúč sa pripája nielen k zariadeniu používateľa, ale aj k zariadeniu útočníka, čo oklame dvojfaktorovú autentifikáciu Google.
Ďalším spôsobom, ako využiť zraniteľnosť v Bluetooth na neoprávnené použitie tokenu Bluetooth Titan Security Key, je, že v čase nadviazania spojenia medzi hardvérovým kľúčom a zariadením používateľa sa útočník môže pripojiť k zariadeniu obete pod zámienkou periférneho zariadenia Bluetooth. , ako je napríklad myš alebo klávesnica. A potom spravujte zariadenie obete tak, ako si želá. Že v prvom prípade, že v druhom nie je pre používateľa s kompromitovaným kľúčom nič dobré. Cudzinec má možnosť vytiahnuť osobné údaje, o ktorých úniku obeť ani nevie. Máte bezpečnostný kľúč Bluetooth Titan? Zapojte ho a prejdite na a samotná služba Google určí, či je tento kľúč spoľahlivý alebo či je potrebné ho vymeniť.
Zdroj: 3dnews.ru