Image default

Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт»

С лета прошлого года компания Google начала продавать аппаратные ключи (по-другому ― токены) для упрощения процесса двухфакторной авторизации для входа в аккаунт с сервисами компании. Токены позволяют упростить жизнь пользователям, которые могут забыть о ручном вводе невообразимо сложных паролей, а также убрать данные для идентификации с устройств: компьютеров и смартфонов. Разработка получила название Titan Security Key и предлагалась как в виде USB-устройства, так и с подключением по Bluetooth. По словам Google, после начла использования токенов внутри компании, за всё время после этого не было ни одного факта взлома аккаунтов сотрудников. Увы, одна уязвимость в Titan Security Key всё-таки нашлась, но к чести Google она обнаружена в протоколе Bluetooth Low Energy. Ключи с подключением по USB остаются всё-также неуязвимы для взлома.

Как сообщается на сайте Google, часть токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Эти токены можно определить по маркировке на обратной стороне ключа. Если в номере на обратной стороне есть комбинации T1 или T2, то такой ключ подлежит замене. Компания приняла решение бесплатно менять такие ключи. В противном случае цена вопроса составила бы до $25 плюс стоимость пересылки.

Обнаруженные уязвимости позволяют злоумышленнику действовать двумя способами. Во-первых, если кто-то знает логин и пароль атакуемого, то может войти в его аккаунт в момент нажатия на кнопку соединения на токене. Для этого злоумышленник должен находиться в радиусе действия связи ключа ― это примерно до 10 метров. Иными словами, ключ по Bluetooth подключается не только к устройству пользователя, но также к устройству злоумышленника, чем обманывает двухфакторную авторизацию Google.

Google бесплатно заменит «дырявые» аппаратные ключи Bluetooth Titan Security Key для входа в аккаунт"

Другой способ использования уязвимости в Bluetooth для несанкционированного использования токена Bluetooth Titan Security Key заключается в том, что в момент установки соединения ключа и устройства пользователя атакующий может подключиться к устройству жертвы под видом Bluetooth-периферии, например, как мышка или клавиатура. И уже после этого хозяйничать на устройстве жертвы как пожелает. Что в первом случае, что во втором для пользователя со скомпрометированным ключом ничего хорошего нет. Стороннему человеку открывается возможность извлечь данные личного характера, об утечке которых жертва даже не узнает. У вас есть токен Bluetooth Titan Security Key? Подключите его и перейдите по этой ссылке, а сервис Google сам определит надёжный этот ключ или его необходимо заменить.


Похожие посты

Видео: премьерный трейлер тактического шутера Left Alive во вселенной Front Mission»

disserr.com

id Software: RAGE 2 — не игра-сервис, но будет поддерживаться после запуска»

disserr.com

Прохождение сюжетной кампании Mortal Kombat 11 займёт восемь часов»

disserr.com