As chaves Bluetooth 2 Titan do Google têm uma vulnerabilidade de segurança estranha

No ano passado, o Google lançou suas chaves de segurança Titan em duas variedades diferentes: USB e Bluetooth Low Energy. A idéia por trás do Titan é a mesma que qualquer chave de segurança, que era dar às pessoas um método de autenticação por dois fatores. Tudo estava bem e elegante por um tempo, mas hoje, o Google alertou os usuários para uma falha bastante peculiar em suas chaves Titan BLE.

Acontece que algumas dessas chaves BLE configuraram mal os protocolos de emparelhamento Bluetooth e podem permitir que alguém fisicamente próximo sequestre suas tentativas de login . Por exemplo, alguém que já tenha seu nome de usuário e senha poderia - em teoria - emparelhar seu dispositivo com sua chave de segurança no momento em que você pressiona o botão em seu Titan para validar suas credenciais. Se eles fizerem isso, eles terão acesso à sua conta usando a chave de segurança que deveria adicionar outra camada de proteção.

Outro exemplo dessa vulnerabilidade, conforme descrito pelo Google em seu blog de segurança, envolve um invasor que esteja novamente em "proximidade física próxima" usando um dispositivo próprio para se passar por seu Titan no momento em que você pressionar o botão de autenticação. Isso permitiria que eles se conectassem ao seu dispositivo e obtivessem acesso a ele.

Como essas duas vulnerabilidades exigem que o invasor tenha um tempo preciso e esteja dentro de 30 pés (o alcance máximo dos dispositivos Bluetooth Low Energy, como o Titan), parece improvável que seja uma das principais causas por preocupação entre os proprietários da BLE Titan. De fato, o Google diz que esses problemas não afetam o objetivo principal das chaves de segurança - a defesa contra invasores remotos - e que eles não se aplicam a chaves USB ou NFC.

Ainda assim, não importa o quanto seja provável ou improvável que alguém aproveite isso, é uma vulnerabilidade que precisa ser resolvida. O Google anunciou hoje que emitirá chaves de substituição para quem quiser uma e tiver uma chave com defeito. Para saber se sua chave precisa ser substituída, olhe a parte de trás dela. Se você vir um "T1" ou um "T2" perto da parte inferior da chave, ele está com defeito e deve ser substituído.

Você pode solicitar uma substituição indo até um site que o Google configurou para esse problema específico. Se você fizer login na sua Conta do Google quando acessá-la, ela será verificada automaticamente. se alguma das chaves afetadas estiver associada à sua conta. Embora o Google recomende que você continue usando suas chaves enquanto aguarda a substituição, ele descreveu algumas etapas que você pode adotar para melhor se proteger enquanto isso, o que pode ser visto na postagem do blog de segurança vinculada acima.

História TimelineMeet o dispositivo de US $ 20 que protege 85.000 funcionários do Google da chave de segurança phishingGoogle Titan que é comprada na USUS Seu telefone Android agora é uma chave de segurança para 2FA

Via: Slash Gear