Anonim
זיווג טיטאן של גוגל

גוגל מציעה החלפות בחינם למפתחות האבטחה של Bluetooth לטיטאן של החברה בגלל באג שיכול להפוך את המכשירים פתוחים לניצול במקרה שהאקר בקרבת מקום.

הבעיה עוסקת בתצורה שגויה בפרוטוקול ההתאמה Bluetooth של המוצר. בדרך כלל המפתח אמור לעבוד כך: אתה מחזיק אותו קרוב למחשב האישי או לסמארטפון והמפתח יתקשר באמצעות Bluetooth כדי לבטל את הנעילה של הגישה לחשבון המקוון שלך. עם זאת, גוגל גילה שאפשר לתוקף להיכנס ולחטוף את תהליך ההתאמה של Bluetooth במהלך הכניסה.

"כשאתה מנסה להיכנס לחשבון במכשיר שלך, אתה מתבקש בדרך כלל ללחוץ על הכפתור על מקש האבטחה [Bluetooth Low Energy] כדי להפעיל אותו. תוקף שנמצא בסמיכות פיזית באותו הרגע בזמן יכול להתחבר. המכשיר שלהם למפתח האבטחה המושפע שלך לפני שהמכשיר שלך מתחבר ", כתב מנהל המוצר של גוגל, כריסטיאן ברנד, בפוסט בבלוג על הפגיעות.

צרור מפתח אבטחה של טיטאן (Bluetooth Titan Key on the left; USB Titan Key on the right.)

Still, it should be noted that this attack would be hard to pull off. You' d need to be within 30 feet of the security key and present during the sign-in process. You'd also have to know the victim's username and password.

עם זאת, גוגל מכרה את טכנולוגיית מפתח האבטחה שלה לעסקים, שצריכים לדאוג מאיומי פנים וריגול של חברות. החברה מסרה ל- PCMag שהאוג דווח למעשה על ידי מיקרוסופט.

אותו באג יכול גם לסלול את הדרך להאקר להתחזות בקצרה למפתח האבטחה Titan של הקורבן באמצעות Bluetooth באמצעות מכשיר סורר. "לאחר מכן [ההאקר] יכול לנסות לשנות את המכשיר שלהם כך שיופיע כמקלדת או עכבר בלוטות 'ולבצע פעולות במכשיר שלך, " אמר ברנד.

בתגובה, גוגל מציעה מפתחות החלפה בחינם לבעלים המושפעים. תוכל לגלות אם יש לך מפתח אבטחה Bluetooth Titan לקוי על ידי בדיקת החלק האחורי של המכשיר. אם יש לו "T1" או "T2" בתחתית, המפתח שלך סובל מהבאג.

מפתח תקליטור Bluetooth

בשנה שעברה החלה גוגל למכור את המוצר כחלק מצרור של 50 $ הכולל מפתח אחד עם Bluetooth ומאפשר אבטחת USB סטנדרטית. החברה סירבה להציע פרטים על באג של ימינו וכיצד היא מתכננת לתקן אותה בגלל פחדים שהאקרים ינסו לנצל את הפגיעות.

יצרן מפתחות האבטחה של גוגל הוא הספק הסיני Feitian, שאמר כי מפתחות האבטחה התומכים ב- Bluetooth משלו סובלים מאותו באג. החברה מציעה גם מפתחות החלפה בחינם לבעלים המושפעים.

קשורים

  • כעת מאפשרת לך לפתוח את חשבונותיך באמצעות מפתחות אבטחה. מיקרוסופט מאפשרת לך כעת לפתוח את חשבונותיך באמצעות מפתחות אבטחה
  • מפתח אבטחה NFC מאת יוביקו מפתח אבטחה NFC מאת יוביקו
  • גוגל מציעה תכונת מפתח מובנית לאבטחה עבור טלפונים אנדרואיד. גוגל מציעה תכונה מובנית של מפתח אבטחה עבור טלפונים אנדרואיד

מוכר המתחרה יוביקו נמנע מלהציע מפתח אבטחה Bluetooth וטען כי הטכנולוגיה "אינה עומדת בסטנדרטים שלנו לאבטחה, שימושיות ועמידות". החברה הודיעה בשנה שעברה כי "BLE (Bluetooth Low Energy) אינה מספקת את רמות הביטחון של NFC ו- USB, ודורשת סוללות והתאמה שמציעות חווית משתמש לקויה."

הערת העורך: סיפור זה תוקן לציין שגוגל לא זוכרת את המוצר, אלא מציעה תחליפים בחינם.