Titan蓝牙硬件金钥有安全漏洞,Google将免费换新

2019-05-16 19:00发布

Google去年开卖的蓝牙版本Titan硬件金钥装置发现有安全漏洞,可使攻击者登入用户帐号或接管装置,Google周三(5月15日)宣布将回收并提供消费者免费换新。

Titan安全金钥为Google自有开发的FIDO2硬件金钥,号称提供比一次性简讯密码更安全的双因素验证(2FA),防止Google用户遭受网钓攻击骗取帐密。它有BLE(Bluetooth Low Energy)及USB版本,售价皆为50美元。

Google发现美国地区销售的BLE版Titan安全金钥有项漏洞。该漏洞出于Titan安全金钥的蓝牙配对协定的组态错误,可能让位于用户周遭约30呎(约9公尺)的攻击者在配对过程中,和用户的Titan BLE金钥或装置发生互动。在前者情况中,当使用者在其装置上准备登入帐号时,会被要求按下BLE金钥上的按钮,这时攻击者可抢先以其装置连接BLE金钥,而如果他刚好有用户帐户名称及密码,即可登入用户帐号。后者情况下,用户BLE金钥配对自己的装置、并按下金钥上的按钮时,黑客可以其装置冒充BLE金钥而连上用户装置。之后黑客将装置伪装成蓝牙键盘或滑鼠,即可在受害者装置上输入或做任何事情。

竞争厂商Yubico执行长Stina Ehrensvard,去年在Titan上市时即曾提及BLE的安全性不如USB和NFC,并指出基于安全性及可使用性问题,该公司不推出BLE版本产品。

Titan金钥产品的这项漏洞仅影响BLE版,USB版不受影响。BLE版用户可检查金钥背后,有T1和T2 序号者就代表中标,符合免费更换的资格。

Google最后提醒,漏洞问题并不会损及安全登入的主要功能,所以即使用户中标,也应持续使用,以便在等候更新期间确保免于钓鱼攻击,并且不要擅自关闭两步骤验证或降级到较不安全的保护机制,如简讯密码。

文章来源: https://www.toutiao.com/group/6691559048057192964/