Mula noong nakaraang tag-araw, nagsimulang magbenta ang Google ng mga hardware key (sa madaling salita, mga token) upang pasimplehin ang proseso ng two-factor authorization para sa pag-log in sa isang account gamit ang mga serbisyo ng kumpanya. Pinapadali ng mga token ang buhay para sa mga user na makakalimutan ang tungkol sa manu-manong pagpasok ng hindi kapani-paniwalang kumplikadong mga password, pati na rin ang pag-alis ng data ng pagkakakilanlan mula sa mga device: mga computer at smartphone. Ang pag-unlad ay tinawag na Titan Security Key at inaalok pareho bilang isang USB device at may koneksyon sa Bluetooth. Ayon sa Google, pagkatapos ng pagsisimula ng paggamit ng mga token sa loob ng kumpanya, sa lahat ng oras pagkatapos noon ay walang kahit isang katotohanan ng pag-hack ng mga account ng empleyado. Sa kasamaang palad, isang kahinaan ang natagpuan sa Titan Security Key, ngunit sa kredito ng Google, natagpuan ito sa Bluetooth Low Energy protocol. Ang mga susi na nakakonekta sa pamamagitan ng USB ay hindi pa rin naa-hack.
Bilang
Ang mga natuklasang kahinaan ay nagbibigay-daan sa isang umaatake na kumilos sa dalawang paraan. Una, kung may nakakaalam ng login at password ng attacker, maaari silang mag-log in sa kanyang account sa sandaling pinindot ang connect button sa token. Upang gawin ito, ang umaatake ay dapat na nasa saklaw ng pangunahing koneksyon - ito ay humigit-kumulang hanggang 10 metro. Sa madaling salita, kumokonekta ang Bluetooth key hindi lamang sa device ng user, kundi pati na rin sa device ng attacker, na nanlilinlang sa two-factor authentication ng Google.
Ang isa pang paraan para gumamit ng kahinaan sa Bluetooth para sa hindi awtorisadong paggamit ng token ng Bluetooth Titan Security Key ay sa oras na magtatag ng koneksyon sa pagitan ng dongle at device ng user, maaaring kumonekta ang isang attacker sa device ng biktima sa ilalim ng pagkukunwari ng Bluetooth peripheral. , gaya ng mouse o keyboard. At pagkatapos nito, pamahalaan ang aparato ng biktima ayon sa gusto niya. Na sa unang kaso, na sa pangalawa ay walang mabuti para sa isang user na may nakompromisong key. Ang isang tagalabas ay may pagkakataon na kunin ang personal na data, ang pagtagas na hindi alam ng biktima. Mayroon ka bang Bluetooth Titan Security Key? Isaksak ito at pumunta sa
Pinagmulan: 3dnews.ru