As chaves Bluetooth Titan 2FA do Google têm uma vulnerabilidade de segurança estranha

As chaves Bluetooth Titan 2FA do Google têm uma vulnerabilidade de segurança estranha

No ano passado, o Google lançou suas chaves de segurança Titan em duas variedades diferentes: USB e Bluetooth Low Energy. A idéia por trás do Titan é a mesma que qualquer chave de segurança, que era oferecer às pessoas um método de autenticação de dois fatores para o hardware. Tudo estava bem e elegante por um tempo, mas hoje o Google alertou os usuários sobre uma falha bastante peculiar em suas chaves BLE Titan.

Acontece que algumas dessas chaves BLE configuraram mal os protocolos de emparelhamento Bluetooth e podem potencialmente permitir que alguém fisicamente próximo seqüestrar suas tentativas de login. Por exemplo, alguém que já tenha seu nome de usuário e senha poderia – em teoria – emparelhar o dispositivo à sua chave de segurança no momento em que você pressiona o botão do Titan para validar suas credenciais. Se eles fizerem isso, terão acesso à sua conta usando a chave de segurança que deveria adicionar outra camada de proteção.

Outro exemplo dessa vulnerabilidade, conforme descrito pelo Google em seu blog de segurança, envolve um invasor novamente em “proximidade física” usando um dispositivo próprio para se disfarçar de titã no momento em que você pressiona o botão de autenticação. Isso permitiria que eles se conectassem ao seu dispositivo e tivessem acesso a ele.

Como essas duas vulnerabilidades exigem que o invasor tenha um tempo preciso e esteja a 30 pés (o alcance máximo de dispositivos Bluetooth de baixa energia como o Titan), parece improvável que esse seja um dos principais motivos de preocupação entre os proprietários do BLE Titan. Na verdade, o Google diz que esses problemas não afetam o objetivo principal das chaves de segurança – a defesa contra invasores remotos – e que não se aplicam às chaves USB ou NFC.

Ainda assim, por mais provável ou improvável que alguém tire proveito disso, é uma vulnerabilidade que precisa ser resolvida. O Google anunciou hoje que emitirá chaves de substituição para quem quiser uma e tiver uma chave com defeito. Para saber se sua chave precisa ser substituída, veja a parte de trás dela. Se você vir um “T1” ou um “T2” próximo à parte inferior da chave, ele está com defeito e deve ser substituído.

Você pode solicitar uma substituição acessando um site que o Google configurou para esse problema específico e, se você estiver conectado à sua conta do Google ao visitá-lo, ele verificará automaticamente se as chaves afetadas estão associadas. sua conta. Embora o Google recomende que você continue usando suas chaves enquanto aguarda uma substituição, ele descreveu algumas etapas a serem seguidas para se proteger melhor enquanto isso, que pode ser visualizado na postagem de blog de segurança vinculada acima.

0 Shares