Google Rappelle Clés de Sécurité Physique Après la Découverte de la Vulnérabilité Bluetooth

Illustration for article titled Google Recalls Physical Security Keys After Discovery of Bluetooth Vulnerability Image: Google

Titan—la sécurité physique de Google lancé l’été dernier a été construit afin de “protéger la valeur élevée des utilisateurs.” Maintenant, les utilisateurs qui ont acheté sur Titan sont tous admissibles à un programme de remplacement gratuit de ce de 50 $périphérique de suite après que la compagnie a découvert une faille dans la façon dont il fonctionne.

Titan, et les produits concurrents qui l’ont précédé comme la YubiKey ou Feitan ePass, de travailler à limiter-les pirates d’accéder à un ordinateur donné par la proximité physique. À la différence des SMS à deux facteurs d’authentification (2fa), qui est vulnérable à des contre-mesures comme SIM échange, sans la possession de la clé, l’obtention de l’accès au compte cible est extrêmement difficile.

Où Titan se distingue, cependant, a été l’ajout de la fonctionnalité Bluetooth—essentiellement donnant la possibilité d’utiliser la clé à partir de l’intérieur d’environ 30 pieds. Cela s’est avéré être un problème, puisque Google a écrit:

En raison d’une mauvaise configuration dans le Titan de la Sécurité des Touches de couplage Bluetooth protocoles, il est possible pour un attaquant qui est physiquement proche de vous au moment où vous utilisez votre clé de sécurité — dans un délai d’environ 30 pieds (a) de communiquer avec votre clé de sécurité, ou (b) de communiquer avec le périphérique auquel votre clé est couplé.

Beaucoup de choses ont à la ligne juste pour cet exploit, pour être efficace, et Google n’est pas au courant de cette exploitation utilisés pour accéder aux données de l’utilisateur dans la nature. Mais ce qui rend tout cela un peu gênant, c’est que le leader du marché en physique 2fa appareils, YubiCo, a exprimé des préoccupations plus exacte de ce genre de problème lors de Titan a été annoncé pour la première fois.

“Google offre un Bluetooth (BLE) capable à la clé,” YubiCo chef de la direction Stina Ehrensvard a écrit en juillet dernier. “Alors que Yubico déjà lancé le développement d’un c? BLE de la clé de sécurité, et a contribué à la BLE U2F normes de travail, nous avons décidé de ne pas lancer le produit car il ne répond pas à nos normes de sécurité, de convivialité et de la durabilité.” Ces préoccupations ont également été partagés par les chercheurs avant de Titan lancement.

Un porte-parole de Google a dit Gizmodo qu’il était conscient du potentiel des failles dans le Bluetooth, mais que les avantages pour les appareils dépourvus de ports USB emportent sur le risque d’exposition. La société a d’abord appris de la vulnérabilité par l’intermédiaire d’une divulgation coordonné par Microsoft Research. La société est farinage la vulnérabilité d’une “bourde” de la clé d’appariement des protocoles, mais ne pouvais pas partager plus sur la façon dont il est patché.

Disons que vous êtes un de ces gens qui ont décidé d’acheter une Titan jeu de clé: si le dongle Bluetooth a “T1″ ou “T2″ est imprimé sur le cas, eh bien, vous pouvez obtenir une nouvelle pour le libre—et vous devriez probablement. Pendant que vous attendez, Google vous conseille de continuer à l’aide de Titan, car ce très spécifique de les exploiter “n’affecte pas le but principal de clés de sécurité, qui est pour vous protéger contre le phishing par un attaquant distant”, et parce que l’aide d’un physique 2fa appareil avec le divulgués problème est toujours mieux que rien du tout.

[TechCruch]

Partager Cette Histoire


Date:

by