Bild: Google
Titan—die physische Sicherheit von Google ausgerollt letzten Sommer gebaut wurde, zu “schützen hohe-Wert-Nutzer.” Nun die Benutzer, die gekauft auf dem Titan sind alle berechtigt für kostenlosen Ersatz dieser $50 Geräte-suite, nachdem das Unternehmen entdeckte eine Verwundbarkeit in der Weise betreibt.
Titan und Produkte der Mitbewerber Voraus, dass es wie der YubiKey oder Feitan ePass, Arbeit zu begrenzen Möchtegern-Hackern den Zugriff auf einen bestimmten computer durch die körperliche Nähe. Im Gegensatz zu SMS-zwei-Faktor-Authentifizierung (2fa), die ist anfällig für Gegenmaßnahmen, wie die SIM-swapping, ohne in Besitz des Schlüssels, Zugang zu dem Ziel-Konto ist sehr schwierig.
Wo Titan zeichnet sich, war jedoch das hinzufügen von Bluetooth-Funktionalität—im wesentlichen die Angabe der option zur Verwendung der Schlüssel innerhalb von etwa 30 Fuß. Dies erwies sich als problem, da Google schrieb:
Aufgrund einer Fehlkonfiguration im Titan Security Keys ” Bluetooth-pairing-protocols ist es möglich für einen Angreifer, der sich physisch in der Nähe, die Sie im moment benutzen Sie Ihre Sicherheits-Schlüssel innerhalb von etwa 30 Fuß (a) kommunizieren mit Sicherheits-Schlüssel, oder (b) die Kommunikation mit dem Gerät, zu dem Ihr Schlüssel gekoppelt ist.
Viele Dinge haben zu line-up genau das richtige für diese ausnutzen, um wirksam zu sein, und Google ist nicht bekannt, diese auszunutzen, wird verwendet, um Zugriff auf Benutzer-Daten in der wildnis. Aber was macht das alles ein bisschen peinlich ist, dass der Marktführer in der physikalischen 2fa-Geräte, Yubico, äußert sich besorgt über diese genaue Art von Problem, das beim Titan wurde zum ersten mal angekündigt.
“Google’ s Angebot beinhaltet eine Bluetooth (BLE), die in-Taste,” Yubico CEO Stina Ehrensvard schrieb im vergangenen Juli. “Während Yubico zuvor eingeleiteten Entwicklung einer BLE security key, und trugen zu der BLE-U2F-standards arbeiten, haben wir beschlossen, nicht zu starten, das Produkt nicht unseren standards für Sicherheit, Benutzerfreundlichkeit und Haltbarkeit.” Diese Bedenken wurden auch gemeinsam von Forschern vor der Titan launch.
Ein Google-Sprecher gegenüber Gizmodo, dass es bewusst die möglichen Fehler im Bluetooth aber, dass die Vorteile für Geräte ohne physische USB-Anschlüsse, wichtiger als die potentielle Exposition. Das Unternehmen gelernt, von der Sicherheitsanfälligkeit über eine koordinierte Offenlegung von Microsoft Research. Das Unternehmen Kreiden die Sicherheitsanfälligkeit, bis zu einer “Fehlkonfiguration” in die Taste pairing-Protokolle, konnte aber nicht mehr darüber, wie es wird gepatcht.
Sagen wir, du bist einer der Leute, die sich für einen Kauf von Titan-key-set: der Bluetooth-dongle hat “T1″ oder “T2″ gedruckt auf dem Fall, auch, können Sie bekommen kostenlos eine neue—und wahrscheinlich sollte. Während Sie warten, Google berät Sie weiterhin mit Titan, weil dieser sehr spezifischen exploit “sich nicht auf den primären Zweck der Sicherheit von Schlüsseln, die zu schützen Sie sich gegen phishing durch einen entfernten Angreifer,” und da mit einer physikalischen 2fa Gerät mit den offengelegten Problem ist immer noch besser als gar keine.
[TechCruch]
Teilen Sie Diese Geschichte