Mula noong nakaraang tag-araw, nagsimulang magbenta ang Google ng mga hardware key (sa madaling salita, mga token) upang pasimplehin ang proseso ng two-factor authorization para sa pag-log in sa isang account gamit ang mga serbisyo ng kumpanya. Pinapadali ng mga token ang buhay para sa mga user na makakalimutan ang tungkol sa manu-manong pagpasok ng hindi kapani-paniwalang kumplikadong mga password, pati na rin ang pag-alis ng data ng pagkakakilanlan mula sa mga device: mga computer at smartphone. Ang pag-unlad ay tinawag na Titan Security Key at inaalok pareho bilang isang USB device at may koneksyon sa Bluetooth. Ayon sa Google, pagkatapos ng pagsisimula ng paggamit ng mga token sa loob ng kumpanya, sa lahat ng oras pagkatapos noon ay walang kahit isang katotohanan ng pag-hack ng mga account ng empleyado. Sa kasamaang palad, isang kahinaan ang natagpuan sa Titan Security Key, ngunit sa kredito ng Google, natagpuan ito sa Bluetooth Low Energy protocol. Ang mga susi na nakakonekta sa pamamagitan ng USB ay hindi pa rin naa-hack.
Bilang sa website ng Google, ang ilan sa mga token ng Bluetooth Titan Security Key ay lumabas na may maling configuration ng Bluetooth Low Energy. Ang mga token na ito ay maaaring makilala sa pamamagitan ng mga marka sa likod ng susi. Kung ang numero sa reverse side ay naglalaman ng mga kumbinasyong T1 o T2, dapat palitan ang naturang key. Nagpasya ang kumpanya na baguhin ang mga naturang key nang libre. Kung hindi, ang presyo ng isyu ay magiging hanggang $25 kasama ang pagpapadala.
Ang mga natuklasang kahinaan ay nagbibigay-daan sa isang umaatake na kumilos sa dalawang paraan. Una, kung may nakakaalam ng login at password ng attacker, maaari silang mag-log in sa kanyang account sa sandaling pinindot ang connect button sa token. Upang gawin ito, ang umaatake ay dapat na nasa saklaw ng pangunahing koneksyon - ito ay humigit-kumulang hanggang 10 metro. Sa madaling salita, kumokonekta ang Bluetooth key hindi lamang sa device ng user, kundi pati na rin sa device ng attacker, na nanlilinlang sa two-factor authentication ng Google.
Ang isa pang paraan para gumamit ng kahinaan sa Bluetooth para sa hindi awtorisadong paggamit ng token ng Bluetooth Titan Security Key ay sa oras na magtatag ng koneksyon sa pagitan ng dongle at device ng user, maaaring kumonekta ang isang attacker sa device ng biktima sa ilalim ng pagkukunwari ng Bluetooth peripheral. , gaya ng mouse o keyboard. At pagkatapos nito, pamahalaan ang aparato ng biktima ayon sa gusto niya. Na sa unang kaso, na sa pangalawa ay walang mabuti para sa isang user na may nakompromisong key. Ang isang tagalabas ay may pagkakataon na kunin ang personal na data, ang pagtagas na hindi alam ng biktima. Mayroon ka bang Bluetooth Titan Security Key? Isaksak ito at pumunta sa , at ang serbisyo ng Google mismo ang tutukuyin kung ang susi na ito ay maaasahan o kailangan itong palitan.
Pinagmulan: 3dnews.ru