O'tgan yozdan boshlab Google kompaniya xizmatlari bilan hisob qaydnomasiga kirish uchun ikki faktorli avtorizatsiya jarayonini soddalashtirish uchun apparat kalitlarini (boshqacha aytganda, tokenlar) sotishni boshladi. Tokenlar aql bovar qilmaydigan darajada murakkab parollarni qo'lda kiritishni unutadigan, shuningdek, qurilmalardan: kompyuterlar va smartfonlardan identifikatsiya ma'lumotlarini olib tashlaydigan foydalanuvchilar uchun hayotni osonlashtiradi. Ishlanma Titan Security Key deb nomlangan va USB qurilmasi sifatida ham, Bluetooth ulanishi bilan ham taklif qilingan. Google ma'lumotlariga ko'ra, kompaniya ichida tokenlardan foydalanish boshlanganidan so'ng, undan keyingi butun davr mobaynida xodimlarning akkauntlarini buzish bilan bog'liq birorta ham fakt kuzatilmagan. Afsuski, bitta zaiflik hali ham Titan xavfsizlik kalitida topilgan, ammo Google hisobiga u Bluetooth Low Energy protokolida topilgan. USB-ga ulangan kalitlar buzg'unchilikka daxlsiz bo'lib qoladi.
qanday Google veb-saytida ba'zi Bluetooth Titan Security Key tokenlarida Bluetooth Low Energy konfiguratsiyasi noto'g'ri ekanligi aniqlandi. Ushbu tokenlarni kalitning orqa tomonidagi belgilar bilan aniqlash mumkin. Agar teskari tomondagi raqam T1 yoki T2 kombinatsiyalarini o'z ichiga olsa, unda bunday kalitni almashtirish kerak. Kompaniya bunday kalitlarni bepul almashtirishga qaror qildi. Aks holda, emissiya narxi pochta to'lovi bilan birga 25 dollargacha bo'ladi.
Aniqlangan zaifliklar tajovuzkorga ikki xil harakat qilish imkonini beradi. Birinchidan, agar kimdir hujumga uchragan shaxsning login va parolini bilsa, u tokendagi ulanish tugmasini bosgan zahoti uning hisobiga kirishi mumkin. Buning uchun tajovuzkor kalitning aloqa oralig'ida bo'lishi kerak - bu taxminan 10 metrgacha. Boshqacha qilib aytganda, dongle Bluetooth orqali nafaqat foydalanuvchi qurilmasiga, balki tajovuzkorning qurilmasiga ham ulanadi va shu bilan Googlening ikki faktorli autentifikatsiyasini aldaydi.
Bluetooth Titan Security Key tokenidan ruxsatsiz foydalanish uchun Bluetooth’dagi zaiflikdan foydalanishning yana bir usuli shundan iboratki, agar kalit va foydalanuvchi qurilmasi o‘rtasida aloqa o‘rnatilgan bo‘lsa, tajovuzkor jabrlanuvchining qurilmasiga Bluetooth tashqi qurilmasi niqobi ostida ulanishi mumkin. Masalan, sichqoncha yoki klaviatura. Va shundan so'ng, jabrlanuvchining qurilmasini xohlagancha boshqaring. Birinchi holatda ham, ikkinchi holatda ham, kaliti buzilgan foydalanuvchi uchun yaxshi narsa yo'q. Chet ellik shaxs shaxsiy ma'lumotlarni olish imkoniyatiga ega, ularning sizib chiqishi haqida jabrlanuvchi hatto bilmaydi. Sizda Bluetooth Titan Security Key tokeni bormi? Uni ulang va o'ting , va Google xizmatining o'zi bu kalit ishonchli yoki o'zgartirilishi kerakligini aniqlaydi.
Manba: 3dnews.ru