Το Google θα αντικαταστήσει το κλειδί ασφαλείας Titan Over a Bluetooth Flaw


Ως μέρος του τα εκτεταμένα μέτρα προστασίας από το ηλεκτρονικό "ψάρεμα" και τα μέτρα ασφαλείας του λογαριασμού, η Google προσφέρει εκτεταμένη υποστήριξη για μάρκες φυσικής πιστοποίησης. Σε μια εκπληκτική αποτυχία, όμως, η εταιρεία ανακοίνωσε σήμερα ότι ανακάλυψε μια ευπάθεια στην έκδοση Bluetooth του δικού της κλειδιού ασφαλείας Titan, το οποίο ζεύγος συσκευών μέσω του ασύρματου πρωτοκόλλου χαμηλής ενέργειας Bluetooth, παρά μέσω NFC ή φυσικής εισαγωγής σε θύρα .

Η Google ξεκίνησε να πωλεί τα κλειδιά με το εμπορικό σήμα Titan τον περασμένο Αύγουστο, αναθέτοντας το υλικό από τον κινέζο κατασκευαστή Feitian, ενώ ταυτόχρονα διαχειριζόταν τα κρυπτογραφικά κλειδιά. Οποιοσδήποτε μπορεί να χρησιμοποιήσει τα dongles με τους λογαριασμούς Google για επιπλέον προστασία, αλλά προτιμάται ιδιαίτερα από τους χρήστες που κινδυνεύουν ιδιαίτερα να έχουν τους λογαριασμούς τους στοχευμένους από εισβολείς, όπως δημόσια πρόσωπα, ακτιβιστές ανθρωπίνων δικαιωμάτων και πολιτικούς αντιφρονούντες. Η Google συνιστά συγκεκριμένα τα κλειδιά BLE για το Πρόγραμμα Προηγμένης Προστασίας, το οποίο προσφέρει ακόμα πιο επιθετική προστασία λογαριασμών. Με άλλα λόγια, οι άνθρωποι που επηρεάζονται περισσότερο από το σφάλμα είναι αυτοί που ενδιαφέρονται περισσότερο για την ασφάλειά τους.

"Το Bluetooth είναι εύκολο να γίνει σωστά."

Μάθιου Πράις, Πανεπιστήμιο Johns Hopkins

Η "λανθασμένη διαμόρφωση", όπως το ονομάζει η Google, θα επέτρεπε σε έναν εισβολέα που βρίσκεται σε απόσταση 30 ποδιών από κάποιον που χρησιμοποιεί κλειδί ασφαλείας για να επικοινωνήσει με αυτό το κλειδί ή με τη συσκευή στην οποία έχει αντιστοιχιστεί το κλειδί. Αυτό καθιστά δύσκολη την εκμετάλλευση. Εκτός από τη φυσική εγγύτητα, ένας εισβολέας θα χρειαστεί να συνδέσει γρήγορα τη δική του συσκευή σε ένα dongle στα δευτερόλεπτα που ένας στόχος ξεκινά τη διαδικασία αντιστοίχισης.

Εάν όμως είναι επιτυχής, ένας εισβολέας που είχε ήδη το όνομα χρήστη και τον κωδικό πρόσβασης του στόχου θα μπορούσε στη συνέχεια να συνδεθεί στον λογαριασμό Google του θύματος στη δική του συσκευή. Επιπλέον, μόλις ο εισβολέας συνδεθεί με το κλειδί Bluetooth του στόχου, η Google προτείνει ότι θα μπορούσαν επίσης να τραβήξουν ένα είδος δολώματος και διακόπτη καθώς το θύμα προσπαθεί ξανά να συνδέσει μια συσκευή με το Bluetooth dongle. Με το σωστό χρονοδιάγραμμα, θα μπορούσαν να παραπλανήσουν τον φορητό υπολογιστή του θύματος, για παράδειγμα, σε αντιστοίχιση με το δικό τους Bluetooth dongle παρά με το κλειδί Titan, αποκτώντας έτσι πρόσβαση τόσο στον λογαριασμό Google του χρήστη όσο και στον υπολογιστή.

"Το Bluetooth είναι εύκολο να αποσαφηνιστεί σωστά", λέει ο πανεπιστημιακός κρυπτογράφος του Johns Hopkins Matthew Green. "Και υπάρχουν εκδόσεις παλαιού τύπου της Bluetooth που είναι ενεργά ανασφαλείς, αλλά ενδέχεται να υποστηρίζονται σε ορισμένες συσκευές".

Αυτές οι δυνατότητες καθιστούν το πρόβλημα αυτό αρκετά σοβαρό ώστε η Google να αντικαταστήσει οποιοδήποτε κλειδί ασφαλείας με το όνομα BLE του Titan που συνδέεται με έναν λογαριασμό Google. Η Google λέει ότι οι ερευνητές της Microsoft ενημέρωσαν την εταιρεία για το πρόβλημα. Η Google στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου σήμερα σε δυνητικά επηρεασμένους χρήστες.

Ωστόσο, η Google επισημαίνει ότι η χρήση οποιουδήποτε δευτερεύοντος πιστοποιητικού ελέγχου ταυτότητας εξακολουθεί να είναι πολύ πιο προστατευτικό από το να μην χρησιμοποιείται. Εξάλλου, χωρίς αυτό το επιπλέον επίπεδο άμυνας, ένας εισβολέας που έχει ήδη το όνομα χρήστη και τον κωδικό πρόσβασης του λογαριασμού Google ενός θύματος δεν θα χρειαστεί να κάνει φανταχτερό hacking για να αποκτήσει πρόσβαση. Η Google σημειώνει επίσης ότι το σφάλμα δεν επηρεάζει τις μάρκες φυσικής ταυτότητας που δεν χρησιμοποιούν το BLE.

Αρχικά, η Google δήλωσε ότι θα αντικαταστήσει τα κλειδιά με το εμπορικό σήμα Titan που φέρουν την ένδειξη "T1" και "T2" στο πίσω μέρος. Ωστόσο, η εταιρεία δήλωσε στο WIRED ότι θα αντικαταστήσει και άλλα κλειδιά Feitian – ακόμη και εκείνα χωρίς το όνομα Titan – τα οποία έχουν συσχετιστεί με λογαριασμούς Google αν ο χρήστης έλαβε το κλειδί από την Google ή κατευθύνθηκε να το αγοράσει από την Google. Ο Feitian δεν έστειλε ένα αίτημα για σχολιασμό με δημοσίευση, αλλά είναι επίσης ευάλωτα τα dongles BUT με φινέτσα Feitan με "3" στο πίσω μέρος.

Αν χρησιμοποιείτε μάρκες φυσικής ταυτότητας, μην αφήνετε αυτό να σας αποτρέψει. Απλά λάβετε ένα Bluetooth dongle αντικατάστασης από την Google όσο μπορείτε.


Περισσότερες μεγάλες ιστορίες WIRED