С лeтa прoшлoгo гoдa кoмпaния Google нaчaлa прoдaвaть aппaрaтныe Шлюзы (пo-другoму ― тoкeны) для упрoщeния прoцeссa двуxфaктoрнoй aвтoризaции ради вxoдa в aккaунт с сeрвисaми кoмпaнии. Тoкeны пoзвoляют опошлить жизнь пользователям, которые могут выбросить из головы о ручном вводе невообразимо сложных паролей, а равно как убрать данные для идентификации с устройств: компьютеров и смартфонов. Исполнение получила название Titan Security Key и предлагалась что в виде USB-устройства, так и с подключением точно по Bluetooth. По словам Google, дальше начала использования токенов в середке компании, за всё эра после этого не было ни одного факта взлома аккаунтов сотрудников. К несчастью, одна уязвимость в Titan Security Key полно-таки нашлась, но к чести Google возлюбленная обнаружена в протоколе Bluetooth Low Energy. Шлюзы с подключением по USB остаются весь век так же неуязвимы исполнение) взлома.
Google Bluetooth Titan Security Key
Вроде сообщается на сайте Google, пай токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Сии токены можно определить согласно маркировке на обратной стороне ключа. Когда в номере на обратной стороне уписывать комбинации T1 или T2, то такого рода ключ подлежит замене. (теплая приняла решение бесплатно заменять такие ключи. В противном случае вес вопроса составила бы прежде $25 плюс стоимость пересылки.
Обнаруженные уязвимости позволяют злоумышленнику совершать работу двумя способами. Во-первых, буде кто-то знает логин и знак атакуемого, то может не уложиться в его аккаунт в момент нажатия сверху кнопку соединения на токене. Интересах этого злоумышленник должен пребывать в радиусе действия связи ключа ― сие примерно до 10 метров. Иными словами, родник по Bluetooth подключается никак не только к устройству пользователя, да также к устройству злоумышленника, нежели обманывает двухфакторную авторизацию Google.
Google Bluetooth Titan Security Key
Другой породы способ использования уязвимости в Bluetooth исполнение) несанкционированного использования токена Bluetooth Titan Security Key заключается в томик, что в момент установки соединения ключа и устройства пользователя атакующий может подстроиться к устройству жертвы под видом Bluetooth-периферии, (пред)положим, как мышка или мануал. И уже после этого заправлять на устройстве жертвы вроде пожелает. Что в первом случае, чего во втором для пользователя со скомпрометированным ключом пусто хорошего нет. Стороннему человеку открывается оказия извлечь данные личного характера, об утечке которых жертвоприношение даже не узнает. У вам есть токен Bluetooth Titan Security Key? Подключите его и перейдите сообразно этой ссылке, а сервис Google непосредственно определит надёжный этот криница или его необходимо подменить.
Источник:
