Од прошлог лета, Гоогле је почео да продаје хардверске кључеве (другим речима, токене) како би поједноставио двофакторски процес ауторизације за пријављивање на налог са услугама компаније. Токени олакшавају живот корисницима који могу да забораве на ручно уношење невероватно сложених лозинки, а такође уклањају идентификационе податке са уређаја: рачунара и паметних телефона. Развој је назван Титан Сецурити Кеи и нудио се и као УСБ уређај и са Блуетоотх везом. Према Гуглу, након почетка коришћења токена у оквиру компаније, током читавог периода након тога није било ниједне чињенице хаковања налога запослених. Нажалост, једна рањивост је и даље пронађена у безбедносном кључу Титан, али заслуга Гоогле-а, откривена је у Блуетоотх Лов Енерги протоколу. Кључеви повезани на УСБ остају нерањиви на хаковање.
Као На Гоогле веб локацији откривено је да неки токени Блуетоотх Титан безбедносног кључа имају погрешну Блуетоотх конфигурацију ниске енергије. Ови жетони се могу идентификовати по ознакама на полеђини кључа. Ако број на полеђини садржи комбинације Т1 или Т2, онда се такав кључ мора заменити. Компанија је одлучила да промени такве кључеве бесплатно. У супротном, цена издавања би била до 25 долара плус поштарина.
Откривене рањивости омогућавају нападачу да делује на два начина. Прво, ако неко зна логин и лозинку нападнуте особе, може се пријавити на његов налог у тренутку када кликне на дугме за повезивање на токену. Да би то урадио, нападач мора бити у комуникацијском домету кључа - то је отприлике до 10 метара. Другим речима, донгле се преко Блуетоотх-а повезује не само са уређајем корисника, већ и са уређајем нападача, чиме се обмањује Гоогле-ова двофакторска аутентикација.
Други начин да се искористи рањивост у Блуетоотх-у за неовлашћено коришћење токена Блуетоотх Титан Сецурити Кеи је тај да када се успостави веза између кључа и уређаја корисника, нападач може да се повеже са уређајем жртве под маском Блуетоотх периферије, за на пример, миш или тастатура. И након тога управљајте жртвиним уређајем како жели. Ни у првом, ни у другом случају, нема ништа добро за корисника са компромитованим кључем. Аутсајдер има могућност да извуче личне податке за чије цурење жртва неће ни знати. Да ли имате Блуетоотх Титан безбедносни кључ? Повежите га и идите на , а сам Гоогле сервис ће утврдити да ли је овај кључ поуздан или га треба заменити.
Извор: 3дневс.ру