谷歌在其蓝牙Titan安全密钥中公开了安全漏洞,并提供免费替换。-王其杉博客|程序员|科技新闻
谷歌今天披露了其蓝牙Titan安全密钥中的一个安全漏洞,该漏洞可能会使接近物理位置的攻击者绕过该密钥应该提供的安全性。该公司表示,该漏洞是由于“Titan安全密钥的蓝牙配对协议配置错误”造成的,即使是有故障的密钥也能抵御网络钓鱼攻击。不过,该公司仍在为所有现有用户提供免费的替换密钥。
这个bug会影响到所有Titan蓝牙密钥,这些密钥在一个包中售价50美元,包中还包括一个标准的USB/NFC密钥,背面有一个“T1”或“T2”。
要利用这个漏洞,攻击者必须在蓝牙范围内(大约30英尺),并在您按下按键激活它时迅速采取行动。然后,攻击者可以在自己的设备连接之前,使用配置错误的协议将自己的设备连接到密钥。有了这个-假设他们已经有了你的用户名和密码-他们可以登录到你的帐户。
谷歌还注意到,在你使用你的钥匙之前,它必须与你的设备配对。攻击者还可能利用自己的设备利用此漏洞,并将其伪装为您的安全密钥,以便在您按下该密钥上的按钮时连接到您的设备。通过这样做,攻击者可以改变他们的设备,使其看起来像键盘或鼠标,并远程控制你的笔记本电脑。
但是,所有这些都必须在正确的时间发生,并且攻击者必须已经知道您的凭证。但是,一个持续的攻击者可以使其工作。
谷歌认为,这个问题不会影响Titan密钥的主要任务,即防范网络钓鱼攻击,并认为用户应该继续使用这些密钥,直到他们得到替换。“使用受影响的密钥而不是完全没有密钥更安全。该公司在今天的公告中写道:“安全密钥是当前最强大的网络钓鱼防护措施。”
该公司还提供了一些缓解潜在安全问题的建议。
谷歌在安全密钥领域的一些竞争对手,包括Yubico,由于潜在的安全问题决定不使用蓝牙,并批评谷歌推出了蓝牙密钥。“虽然Yubico之前启动了一个BLE安全密钥的开发,并为BLE U2F标准的工作做出了贡献,但我们决定不推出该产品,因为它不符合我们的安全性、可用性和耐用性标准,”Yubico的创始人Stina Ehrensv_rd在谷歌推出Titan密钥时写道。
谷歌接受了Yubico,并建立了自己的硬件安全密钥。