ตั้งแต่ฤดูร้อนที่แล้ว Google เริ่มขายคีย์ฮาร์ดแวร์ (หรืออีกนัยหนึ่งคือโทเค็น) เพื่อลดความซับซ้อนของกระบวนการอนุญาตแบบสองปัจจัยสำหรับการลงชื่อเข้าใช้บัญชีด้วยบริการของบริษัท โทเค็นทำให้ชีวิตง่ายขึ้นสำหรับผู้ใช้ที่สามารถลืมการป้อนรหัสผ่านที่ซับซ้อนอย่างไม่น่าเชื่อด้วยตนเอง และยังลบข้อมูลระบุตัวตนออกจากอุปกรณ์ เช่น คอมพิวเตอร์และสมาร์ทโฟน การพัฒนานี้เรียกว่า Titan Security Key และนำเสนอทั้งในรูปแบบอุปกรณ์ USB และการเชื่อมต่อ Bluetooth จากข้อมูลของ Google หลังจากเริ่มใช้โทเค็นภายในบริษัท ตลอดระยะเวลาหลังจากนั้น ไม่มีข้อเท็จจริงใด ๆ เกี่ยวกับการแฮ็กบัญชีพนักงานเลย อนิจจา ยังพบช่องโหว่หนึ่งรายการในคีย์ความปลอดภัย Titan แต่สำหรับเครดิตของ Google นั้น ถูกค้นพบในโปรโตคอล Bluetooth Low Energy คีย์ที่เชื่อมต่อด้วย USB ยังคงคงกระพันต่อการแฮ็ก
ในขณะที่
ช่องโหว่ที่ค้นพบทำให้ผู้โจมตีสามารถดำเนินการได้สองวิธี ประการแรก หากมีใครทราบข้อมูลเข้าสู่ระบบและรหัสผ่านของผู้ที่ถูกโจมตี พวกเขาสามารถเข้าสู่ระบบบัญชีของเขาได้ทันทีที่เขาคลิกที่ปุ่มเชื่อมต่อบนโทเค็น ในการดำเนินการนี้ ผู้โจมตีจะต้องอยู่ในระยะการสื่อสารของกุญแจ ซึ่งอยู่ห่างออกไปประมาณ 10 เมตร กล่าวอีกนัยหนึ่ง ดองเกิลเชื่อมต่อผ่านบลูทูธ ไม่เพียงแต่กับอุปกรณ์ของผู้ใช้เท่านั้น แต่ยังรวมถึงอุปกรณ์ของผู้โจมตีด้วย ดังนั้นจึงเป็นการหลอกลวงการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google
อีกวิธีในการใช้ประโยชน์จากช่องโหว่ใน Bluetooth สำหรับการใช้งานโทเค็น Bluetooth Titan Security Key โดยไม่ได้รับอนุญาตก็คือ เมื่อมีการเชื่อมต่อเกิดขึ้นระหว่างคีย์และอุปกรณ์ของผู้ใช้ ผู้โจมตีสามารถเชื่อมต่อกับอุปกรณ์ของเหยื่อภายใต้หน้ากากของอุปกรณ์ต่อพ่วง Bluetooth สำหรับ เช่น เมาส์หรือคีย์บอร์ด และหลังจากนั้นก็จัดการอุปกรณ์ของเหยื่อได้ตามต้องการ ไม่ว่าในกรณีแรกหรือกรณีที่สอง ไม่มีอะไรดีสำหรับผู้ใช้ที่มีคีย์ที่ถูกบุกรุก บุคคลภายนอกมีโอกาสที่จะดึงข้อมูลส่วนบุคคลซึ่งการรั่วไหลที่เหยื่อจะไม่รู้ด้วยซ้ำ คุณมีโทเค็นคีย์ความปลอดภัย Bluetooth Titan หรือไม่ เชื่อมต่อแล้วไปที่
ที่มา: 3dnews.ru