Od lanskega poletja je Google začel prodajati strojne ključe (z drugimi besedami, žetone), da bi poenostavil postopek dvostopenjske avtorizacije za prijavo v račun s storitvami podjetja. Žetoni olajšajo življenje uporabnikom, ki lahko pozabijo na ročno vnašanje neverjetno zapletenih gesel, prav tako pa odstranijo identifikacijske podatke iz naprav: računalnikov in pametnih telefonov. Razvoj se je imenoval Titan Security Key in je bil na voljo tako kot naprava USB kot s povezavo Bluetooth. Po navedbah Googla po začetku uporabe žetonov v podjetju v celotnem obdobju po tem ni bilo niti enega vdora v račune zaposlenih. Žal, ena ranljivost je bila še vedno najdena v varnostnem ključu Titan, a po Googlovi zaslugi je bila odkrita v protokolu Bluetooth Low Energy. Ključi, povezani prek USB-ja, ostajajo neranljivi za vdore.
Kot Na Googlovem spletnem mestu je bilo ugotovljeno, da imajo nekateri žetoni Bluetooth Titan Security Key napačno konfiguracijo Bluetooth Low Energy. Te žetone je mogoče prepoznati po oznakah na zadnji strani ključa. Če številka na hrbtni strani vsebuje kombinacije T1 ali T2, je treba tak ključ zamenjati. Podjetje se je odločilo za brezplačno menjavo takih ključev. V nasprotnem primeru bi bila izdajna cena do 25 $ plus poštnina.
Odkrite ranljivosti napadalcu omogočajo delovanje na dva načina. Prvič, če nekdo pozna uporabniško ime in geslo napadene osebe, se lahko prijavi v njegov račun v trenutku, ko klikne gumb za povezavo na žetonu. Za to mora biti napadalec v komunikacijskem dosegu ključa - to je približno do 10 metrov. Z drugimi besedami, ključ se prek povezave Bluetooth ne poveže le z uporabnikovo napravo, temveč tudi z napravo napadalca, s čimer zavede Googlovo dvofaktorsko avtentikacijo.
Drug način za izkoriščanje ranljivosti v Bluetoothu za nepooblaščeno uporabo žetona varnostnega ključa Bluetooth Titan je ta, da se lahko napadalec, ko je vzpostavljena povezava med ključem in uporabnikovo napravo, poveže z žrtvino napravo pod krinko periferne naprave Bluetooth, za na primer miško ali tipkovnico. In nato upravljajte napravo žrtve, kot želi. Ne v prvem ne v drugem primeru za uporabnika z ogroženim ključem ni nič dobrega. Zunanja oseba ima možnost pridobiti osebne podatke, za uhajanje katerih žrtev sploh ne bo vedela. Ali imate varnostni ključ Bluetooth Titan? Povežite ga in pojdite na , Googlova storitev pa bo sama ugotovila, ali je ta ključ zanesljiv ali ga je treba zamenjati.
Vir: 3dnews.ru