Kể từ mùa hè năm ngoái, Google đã bắt đầu bán khóa phần cứng (hay nói cách khác là mã thông báo) để đơn giản hóa quy trình ủy quyền hai yếu tố để đăng nhập vào tài khoản bằng các dịch vụ của công ty. Mã thông báo giúp cuộc sống của người dùng dễ dàng hơn, những người có thể quên việc nhập mật khẩu cực kỳ phức tạp theo cách thủ công, đồng thời xóa dữ liệu nhận dạng khỏi các thiết bị: máy tính và điện thoại thông minh. Sự phát triển này được gọi là Khóa bảo mật Titan và được cung cấp cả dưới dạng thiết bị USB và kết nối Bluetooth. Theo Google, sau khi bắt đầu sử dụng mã thông báo trong công ty, trong suốt thời gian sau đó không có một vụ hack tài khoản nhân viên nào xảy ra. Than ôi, một lỗ hổng vẫn được tìm thấy trong Khóa bảo mật Titan, nhưng theo ghi nhận của Google, nó đã được phát hiện trong giao thức Bluetooth Low Energy. Các phím được kết nối qua USB vẫn không thể bị hack.
làm sao Trên trang web của Google, người ta phát hiện một số mã thông báo Khóa bảo mật Bluetooth Titan có cấu hình Bluetooth Low Energy không chính xác. Những mã thông báo này có thể được xác định bằng các dấu hiệu ở mặt sau của chìa khóa. Nếu số ở mặt sau chứa tổ hợp T1 hoặc T2 thì phải thay thế phím đó. Công ty đã quyết định thay đổi các phím như vậy miễn phí. Nếu không, giá phát hành sẽ lên tới 25 USD cộng với bưu phí.
Các lỗ hổng được phát hiện cho phép kẻ tấn công hành động theo hai cách. Đầu tiên, nếu ai đó biết thông tin đăng nhập và mật khẩu của người bị tấn công, họ có thể đăng nhập vào tài khoản của anh ta ngay khi anh ta nhấp vào nút kết nối trên mã thông báo. Để làm được điều này, kẻ tấn công phải ở trong phạm vi liên lạc của khóa - khoảng cách này lên tới khoảng 10 mét. Nói cách khác, dongle kết nối qua Bluetooth không chỉ với thiết bị của người dùng mà còn với thiết bị của kẻ tấn công, từ đó đánh lừa xác thực hai yếu tố của Google.
Một cách khác để khai thác lỗ hổng trong Bluetooth nhằm sử dụng trái phép mã thông báo Khóa bảo mật Bluetooth Titan là khi kết nối được thiết lập giữa khóa và thiết bị của người dùng, kẻ tấn công có thể kết nối với thiết bị của nạn nhân dưới vỏ bọc của thiết bị ngoại vi Bluetooth, để ví dụ như chuột hoặc bàn phím. Và sau đó, quản lý thiết bị của nạn nhân theo ý muốn. Trong trường hợp đầu tiên hoặc trong trường hợp thứ hai, không có gì tốt cho người dùng có khóa bị xâm phạm. Người ngoài có cơ hội trích xuất dữ liệu cá nhân, vụ rò rỉ mà nạn nhân thậm chí sẽ không biết. Bạn có mã thông báo Khóa bảo mật Bluetooth Titan không? Kết nối nó và đi đến và chính dịch vụ của Google sẽ xác định xem khóa này có đáng tin cậy hay không hoặc liệu nó có cần được thay thế hay không.
Nguồn: 3dnews.ru