Papalitan ng Google ang Titan Security Key sa paglipas ng Bluetooth Flaw


Bilang bahagi ng ang pinalawak na anti-phishing at mga hakbang sa seguridad ng account, nag-aalok ang Google ng malawak na suporta para sa mga token ng pisikal na pagpapatunay. Sa isang kamangha-manghang pag-urong, bagaman, inihayag ng kumpanya ngayon na natuklasan nito ang isang kahinaan sa bersyon ng Bluetooth ng sarili nitong Titan Security Key-na pares sa mga device sa pamamagitan ng wireless na Bluetooth Low Energy protocol, sa halip na sa pamamagitan ng NFC o pisikal na pagpasok sa isang port .

Sinimulan ng Google ang pagbebenta ng mga susi ng Titan na may tatak noong nakaraang Agosto, sa pag-outsourcing ng hardware mula sa tagagawa ng Chinese na Feitian habang pinamamahalaan ang mga cryptographic na key mismo. Maaaring gamitin ng sinuman ang mga dongle sa kanilang mga Google account para sa isang dagdag na patong ng proteksyon, ngunit lalo na pinapaboran sila ng mga gumagamit sa partikular na panganib na magkaroon ng kanilang mga account na naka-target ng mga attackers, tulad ng mga pampublikong numero, mga aktibista sa karapatang pantao, at mga pampolitikang pampulitika. Inirerekomenda ng Google ang mga BLE dongle para sa Advanced Protection Program nito, na nag-aalok ng higit pang mga agresibong proteksyon sa account. Sa madaling salita, ang mga taong pinakaapektuhan ng bug ay ang mga pinaka nag-aalala tungkol sa kanilang seguridad.

"Ang Bluetooth ay madaling i-configure."

Matthew Green, Johns Hopkins University

Ang "misconfiguration," gaya ng tawag nito sa Google, ay magpapahintulot sa isang magsasalakay na nakakakuha sa loob ng 30 talampakan ng isang tao na gumagamit ng isang susi ng seguridad upang makipag-ugnayan sa susi o sa aparato ang key ay ipares sa. Iyon ay ginagawang isang mahirap na kahinaan upang maningning na tagumpay. Bilang karagdagan sa pisikal na kalapitan, isang magsasalakay ay kailangan upang mabilis na ikonekta ang kanilang sariling mga aparato sa isang dongle sa mga segundo na ang isang target na nagpasimula ng proseso ng pagpapares.

Kung matagumpay, bagaman, ang isang magsasalakay na mayroon nang username at password ng target ay maaaring mag-sign in sa Google account ng biktima sa kanilang sariling device. Bukod pa rito, sa sandaling ang tagasalakay ay ipinapares sa Bluetooth key ng target, ang Google ay nagpapahiwatig na maaari rin nilang hilahin ang isang uri ng bait-at-switch habang sinusubukan muli ng biktima upang ikonekta ang isang aparato sa kanilang Bluetooth dongle. Sa tamang timing, maaari nilang linlangin ang laptop ng biktima, halimbawa, sa pagpapares sa kanilang sariling Bluetooth dongle sa halip na ang Titan key, kaya ang pagkakaroon ng access sa parehong Google account ng gumagamit at ng computer na iyon.

"Ang Bluetooth ay madaling mali sa pagkakakilanlan," sabi ng cryptographer ng Johns Hopkins University na si Matthew Green. "At mayroong mga legacy na bersyon ng Bluetooth na aktibong walang katiyakan ngunit maaaring suportado sa ilang mga device."

Ang mga posibilidad na ito ay isang seryosong sapat na bug na papalitan ng Google ang anumang Titan BLE-branded na key ng seguridad na naka-link sa isang Google account. Sinabi ng Google na sinabi ng mga mananaliksik sa Microsoft ang kumpanya tungkol sa isyu. Nagpapadala ang Google ng mga email ngayon sa mga potensyal na apektadong gumagamit.

Gayunman, itinuturo ng Google na ang paggamit ng anumang pangalawang-factor na token sa pagpapatunay ay mas proteksiyon pa kaysa sa hindi paggamit ng isa. Matapos ang lahat, kung wala ang sobrang layer ng depensa, ang isang magsasalakay na may username at password para sa Google account ng isang biktima ay hindi kailangang gumawa ng anumang magarbong pag-hack upang makakuha ng access. Sinasabi rin ng Google na ang bug ay hindi nakakaapekto sa mga token ng physical authentication na hindi gumagamit ng BLE.

Sa una, sinabi ng Google na papalitan nito ang mga susi ng Titan na may tatak na "T1" at "T2" sa likod. Subalit sinabi ng kumpanya na WIRED na papalitan din nito ang iba pang mga key ng Feitian-kahit na walang branding Titan-na nauugnay sa mga Google account kung nakuha ng user ang key mula sa Google o itinuro upang bilhin ito ng Google. Ang Feitian ay hindi nagbabalik ng kahilingan para sa komento sa pamamagitan ng paglalathala, ngunit ang Feitan-branded BLE dongle na may "3" sa likod ay mahina din.

Kung gumagamit ka ng mga token ng pisikal na authentication, huwag hayaan itong pigilan ka. Kumuha lamang ng kapalit na Bluetooth dongle mula sa Google habang maaari mo.


Higit pang mga Great WIRED Stories