Kusabab usum panas kamari, Google mimiti ngajual konci hardware (dina kecap sanésna, token) pikeun nyederhanakeun prosés otorisasi dua faktor pikeun log in kana akun sareng jasa perusahaan. Token ngagampangkeun kahirupan pikeun pangguna anu tiasa hilap sacara manual ngalebetkeun kecap konci anu luar biasa, sareng ogé ngahapus data idéntifikasi tina alat: komputer sareng smartphone. Pangwangunan ieu disebut Titan Security Key sareng ditawarkeun duanana salaku alat USB sareng sambungan Bluetooth. Numutkeun Google, sanggeus mimiti ngagunakeun tokens dina parusahaan, salila sakabéh période sanggeus éta teu aya hiji kanyataan hacking tina rekening pagawe. Hanjakalna, hiji kerentanan masih aya dina Titan Security Key, tapi pikeun kiridit Google, éta kapanggih dina protokol Bluetooth Low Energy. Konci anu nyambungkeun USB tetep teu kaganggu ku hacking.
kumaha Dina situs wéb Google, sababaraha token Bluetooth Titan Security Key kapanggih gaduh konfigurasi Bluetooth Low Energy anu salah. tokens ieu bisa dicirikeun ku tanda dina tonggong konci. Upami nomer di sisi sabalikna ngandung kombinasi T1 atanapi T2, maka konci sapertos kitu kedah diganti. Pausahaan mutuskeun pikeun ngarobah konci sapertos gratis. Upami teu kitu, harga masalah bakal dugi ka $25 ditambah ongkos kirim.
Kerentanan anu kapanggih ngamungkinkeun panyerang pikeun ngalakukeun dua cara. Anu mimiti, upami aya anu terang login sareng kecap akses jalma anu diserang, aranjeunna tiasa lebet kana akunna nalika anjeunna ngaklik tombol sambungkeun dina token. Jang ngalampahkeun ieu, panyerang kedah aya dina jarak komunikasi konci - sakitar sakitar 10 méter. Dina basa sejen, dongle nyambung via Bluetooth teu ngan ka alat pamaké, tapi ogé ka alat lawan, kukituna deceiving auténtikasi dua-faktor Google.
Cara séjén pikeun ngamangpaatkeun kerentanan dina Bluetooth pikeun pamakean anu teu sah tina token Bluetooth Titan Security Key nyaéta nalika sambungan didamel antara konci sareng alat pangguna, panyerang tiasa nyambung ka alat korban dina kedok periferal Bluetooth, pikeun contona, mouse atawa keyboard. Sarta sanggeus éta, ngatur alat korban sakumaha anjeunna wishes. Boh dina kasus kahiji atanapi kadua, teu aya anu hadé pikeun pangguna anu gaduh konci anu dikompromi. Urang luar ngagaduhan kasempetan pikeun nimba data pribadi, anu bocor anu korban moal terang. Naha anjeun gaduh token Bluetooth Titan Security Key? Sambungkeun sareng angkat ka , sarta layanan Google sorangan bakal nangtukeun naha konci ieu bisa dipercaya atawa naha éta perlu diganti.
sumber: 3dnews.ru