Geçtiğimiz yazdan bu yana Google, şirketin hizmetlerinde bir hesaba giriş yapmak için iki faktörlü yetkilendirme sürecini basitleştirmek amacıyla donanım anahtarları (başka bir deyişle jetonlar) satmaya başladı. Belirteçler, inanılmaz derecede karmaşık parolaları manuel olarak girmeyi unutabilen ve ayrıca bilgisayarlar ve akıllı telefonlar gibi cihazlardan kimlik verilerini kaldırabilen kullanıcılar için hayatı kolaylaştırır. Geliştirmeye Titan Güvenlik Anahtarı adı verildi ve hem USB cihazı hem de Bluetooth bağlantısıyla sunuldu. Google'a göre, şirket içinde token kullanmaya başladıktan sonra, bundan sonraki tüm dönem boyunca çalışanların hesaplarının hacklendiğine dair tek bir olay bile yaşanmadı. Ne yazık ki Titan Güvenlik Anahtarında hala bir güvenlik açığı bulundu, ancak Google'ın takdirine göre bu güvenlik açığı Bluetooth Düşük Enerji protokolünde keşfedildi. USB bağlantılı anahtarlar bilgisayar korsanlığına karşı dayanıklı kalır.
Gibi Google web sitesinde, bazı Bluetooth Titan Güvenlik Anahtarı belirteçlerinin hatalı bir Bluetooth Düşük Enerji yapılandırmasına sahip olduğu tespit edildi. Bu jetonlar anahtarın arkasındaki işaretlerden tanınabilir. Arka taraftaki sayı T1 veya T2 kombinasyonlarını içeriyorsa, böyle bir anahtarın değiştirilmesi gerekir. Şirket bu tür anahtarları ücretsiz değiştirmeye karar verdi. Aksi takdirde, basım fiyatı posta ücreti hariç 25 dolara kadar çıkabilir.
Keşfedilen güvenlik açıkları, saldırganın iki şekilde hareket etmesine olanak tanır. İlk olarak, eğer birisi saldırıya uğrayan kişinin kullanıcı adını ve şifresini biliyorsa, token üzerindeki bağlan butonuna tıkladığı anda hesabına giriş yapabiliyor. Bunu yapmak için saldırganın anahtarın iletişim menzilinde olması gerekir - bu yaklaşık 10 metreye kadardır. Yani dongle, Bluetooth aracılığıyla yalnızca kullanıcının cihazına değil, saldırganın cihazına da bağlanıyor ve böylece Google'ın iki faktörlü kimlik doğrulamasını aldatıyor.
Bluetooth Titan Güvenlik Anahtarı belirtecinin yetkisiz kullanımı için Bluetooth'taki bir güvenlik açığından yararlanmanın bir başka yolu da, anahtar ile kullanıcının cihazı arasında bir bağlantı kurulduğunda, saldırganın kurbanın cihazına bir Bluetooth çevre birimi kisvesi altında bağlanabilmesidir. örneğin bir fare veya klavye. Daha sonra kurbanın cihazını istediği gibi yönetin. İlk durumda ya da ikinci durumda, anahtarı ele geçirilmiş bir kullanıcı için hiçbir iyi şey yoktur. Dışarıdan birinin, mağdurun sızdırıldığından bile haberdar olmayacağı kişisel verileri çıkarma fırsatı vardır. Bluetooth Titan Güvenlik Anahtarı belirteciniz var mı? Bağlayın ve şuraya gidin: ve Google hizmetinin kendisi bu anahtarın güvenilir olup olmadığını veya değiştirilmesi gerekip gerekmediğini belirleyecektir.
Kaynak: 3dnews.ru