پچھلی موسم گرما سے، گوگل نے کمپنی کی خدمات کے ساتھ اکاؤنٹ میں لاگ ان کرنے کے لیے دو عنصر کی اجازت کے عمل کو آسان بنانے کے لیے ہارڈویئر کیز (دوسرے الفاظ میں ٹوکنز) فروخت کرنا شروع کر دیں۔ ٹوکنز ان صارفین کی زندگی کو آسان بنا دیتے ہیں جو ناقابل یقین حد تک پیچیدہ پاس ورڈز کو دستی طور پر داخل کرنا بھول سکتے ہیں، اور ڈیوائسز: کمپیوٹرز اور اسمارٹ فونز سے شناختی ڈیٹا کو بھی ہٹا سکتے ہیں۔ ترقی کو Titan Security Key کہا جاتا تھا اور اسے USB ڈیوائس اور بلوٹوتھ کنکشن کے ساتھ پیش کیا جاتا تھا۔ گوگل کے مطابق کمپنی کے اندر ٹوکن کا استعمال شروع ہونے کے بعد اس کے بعد کی پوری مدت میں ملازمین کے اکاؤنٹس ہیک ہونے کی ایک بھی حقیقت سامنے نہیں آئی۔ افسوس، ٹائٹن سیکیورٹی کی میں ایک کمزوری اب بھی پائی گئی تھی، لیکن گوگل کے کریڈٹ پر، یہ بلوٹوتھ لو انرجی پروٹوکول میں دریافت ہوا تھا۔ USB سے منسلک کلیدیں ہیکنگ کے لیے ناقابل تسخیر رہتی ہیں۔
جیسا کہ گوگل ویب سائٹ پر، کچھ بلوٹوتھ ٹائٹن سیکیورٹی کلید ٹوکنز میں بلوٹوتھ لو انرجی کی غلط کنفیگریشن پائی گئی۔ ان ٹوکنز کی شناخت کلید کے پچھلے حصے پر نشانات سے کی جا سکتی ہے۔ اگر ریورس سائیڈ پر نمبر T1 یا T2 کے مجموعے پر مشتمل ہے، تو ایسی کلید کو تبدیل کرنا ضروری ہے۔ کمپنی نے ایسی چابیاں مفت تبدیل کرنے کا فیصلہ کیا۔ بصورت دیگر، ایشو کی قیمت $25 کے علاوہ ڈاک تک ہوگی۔
دریافت شدہ کمزوریاں حملہ آور کو دو طریقوں سے کام کرنے کی اجازت دیتی ہیں۔ سب سے پہلے، اگر کسی کو حملہ آور کا لاگ ان اور پاس ورڈ معلوم ہے، تو وہ ٹوکن پر کنیکٹ بٹن پر کلک کرتے ہی اس کے اکاؤنٹ میں لاگ ان ہو سکتا ہے۔ ایسا کرنے کے لیے، حملہ آور کو کلید کی کمیونیکیشن رینج کے اندر ہونا چاہیے - یہ تقریباً 10 میٹر تک ہے۔ دوسرے لفظوں میں، ڈونگل بلوٹوتھ کے ذریعے نہ صرف صارف کے آلے سے، بلکہ حملہ آور کے آلے سے بھی جڑتا ہے، اس طرح گوگل کی دو عنصری تصدیق کو دھوکہ دیتا ہے۔
بلوٹوتھ ٹائٹن سیکیورٹی کلید ٹوکن کے غیر مجاز استعمال کے لیے بلوٹوتھ میں کمزوری کا فائدہ اٹھانے کا ایک اور طریقہ یہ ہے کہ جب کلید اور صارف کے آلے کے درمیان کنکشن قائم ہو جاتا ہے، حملہ آور بلوٹوتھ پیریفیرل کی آڑ میں شکار کے آلے سے جڑ سکتا ہے۔ مثال کے طور پر، ایک ماؤس یا کی بورڈ. اور اس کے بعد، شکار کے آلے کو اس کی مرضی کے مطابق منظم کریں۔ یا تو پہلی صورت میں یا دوسری صورت میں، سمجھوتہ شدہ کلید والے صارف کے لیے کچھ بھی اچھا نہیں ہے۔ ایک بیرونی شخص کو ذاتی ڈیٹا نکالنے کا موقع ملتا ہے، جس کے لیک ہونے کے بارے میں شکار کو معلوم بھی نہیں ہوگا۔ کیا آپ کے پاس بلوٹوتھ ٹائٹن سیکیورٹی کلید کا ٹوکن ہے؟ اسے جوڑیں اور اس پر جائیں۔ ، اور گوگل سروس خود اس بات کا تعین کرے گی کہ آیا یہ کلید قابل اعتماد ہے یا اسے تبدیل کرنے کی ضرورت ہے۔
ماخذ: 3dnews.ru