Immagine: ZDNet
Dopo un sontuoso lancio, lo scorso luglio, Google ha annunciato oggi che andrà a sostituire la Titan chiavi di sicurezza a causa di una vulnerabilità, l’azienda ha scoperto nelle chiavi’ Bluetooth pairing.
Google ha detto che la falla di sicurezza consente agli aggressori di prendere degli utenti, dispositivi e/o accedere gli account degli utenti, anche se i tasti dovrebbero essere sicuri di utilizzare, a determinate condizioni.
Tutti gli utenti in possesso di Titan chiavi di sicurezza che può abbinare (collegare) con un dispositivo via Bluetooth sono ora ammissibili per una sostituzione gratuita.
Titan chiavi di sicurezza senza Bluetooth non sono interessati, come quelli che funzionano tramite NFC o USB.
Proprietari di Bluetooth Titan chiavi possono accedere a questa pagina per vedere se il proprio dispositivo è vulnerabile, dove riceveranno le istruzioni su come applicare e ricevere una sostituzione.
“Se è un” T1 ” o ” T2 ” sul retro della chiave, la chiave è interessato dal problema ed è eleggibile per la sostituzione gratuita,” Google ha detto oggi in un post sul blog.
Google Titan marca tasti sono venduti solo in USA. I tasti sono venduti in altri paesi sotto la loro originale Feitian marca. Un portavoce di Google ha detto di ZDNet che non NOI utenti possono utilizzare lo stesso google.com/replacemykey pagina per controllare se i loro Feitian tasti sono interessato, ma Feitian gestirà il processo di sostituzione se gli utenti sono interessati e idonei per una nuova chiave.
La falla di sicurezza
Secondo Google, la falla di sicurezza è a causa di “un errore di configurazione nel Titan Chiavi di Sicurezza’ accoppiamento Bluetooth protocolli”.
Questa falla può essere sfruttata da un aggressore che è fisicamente presente (in un raggio di circa 30 piedi) di un Titan utente, e quando gli utenti stanno utilizzando la chiave normalmente, o quando si sono prima di abbinamento per i loro computer.
Per esempio, quando un utente paia loro Titan chiave di protezione per il proprio dispositivo, un utente malintenzionato può sfruttare la falla nel protocollo Bluetooth per dirottare questo processo e anche abbinare un ladro dispositivo Bluetooth al computer dell’utente. L’utente malintenzionato può poi ri-assegnare questo dispositivo canaglia come una tastiera Bluetooth, che può essere successivamente utilizzato per eseguire comandi dannosi per dirottare gli utenti di dispositivi.
Inoltre, quando un dispositivo proprietario preme il pulsante di attivazione sul Titano chiave di sicurezza per accedere a un account online, un utente malintenzionato può anche autorizzare un ladro dispositivo per accedere a tale account –purché l’attaccante ha anche una password valida.
Google: gli Utenti dovrebbero continuare a utilizzare le chiavi
È per questi motivi che Google è ora la sostituzione di questi tasti. Tuttavia, la società consiglia di non smettere di utilizzare i tasti fino a ottenere una sostituzione, in quanto possono fornire maggiore sicurezza, rispetto al non utilizzo di una chiave di sicurezza, dopo tutto.
“È ancora più sicuro utilizzare una chiave che ha questo problema, piuttosto che disattivare la chiave di sicurezza di base la verifica in due passaggi (2SV) sul tuo Account Google o il downgrade a meno di phishing-resistente metodi (ad esempio, codici SMS o richieste inviate al dispositivo),” Google ha detto.
Google ha annunciato il Titan chiavi di sicurezza lo scorso luglio. La società ha pubblicato i seguenti consigli per i proprietari di guasto Bluetooth-powered Titan chiavi di sicurezza, fino a sostituzioni di arrivare.
i dispositivi iOS:
Su dispositivi che eseguono iOS versione 12.2 o versioni precedenti, si consiglia di utilizzare il tuo interessati chiave di sicurezza in un luogo privato in cui un potenziale aggressore non è all’interno di stretta vicinanza fisica (circa 30 metri). Dopo che ho usato il tasto per accedere al tuo Account Google sul tuo dispositivo, immediatamente disaccoppiare. È possibile utilizzare il tasto in questo modo di nuovo in attesa per la sostituzione, fino all’aggiornamento a iOS 12.3.
Una volta che si aggiorna per iOS 12.3, il tuo interessati chiave di sicurezza non funzionerà più. Non sarà in grado di utilizzare la chiave interessata di accedere al tuo Account Google, o qualsiasi altro account protetto da chiave, e si dovrà ordinare una chiave di riserva. Se hai già effettuato l’accesso con il tuo Account Google sul tuo dispositivo iOS, non firma perché non sarà in grado di accedere di nuovo fino ad ottenere una nuova chiave. Se hai bloccato il tuo Account Google sul tuo dispositivo iOS prima di ricambio chiave arriva, vedere le istruzioni per tornare nel tuo account. Si noti che è possibile continuare ad accedere con il tuo Account Google su dispositivi non-iOS..
Su Android e altri dispositivi:
Si consiglia di utilizzare il tuo interessati chiave di sicurezza in un luogo privato in cui un potenziale aggressore non è all’interno di stretta vicinanza fisica (circa 30 metri). Dopo aver utilizzato il tuo interessati chiave di sicurezza per accedere al tuo Account Google, immediatamente disaccoppiare. I dispositivi Android aggiornato con il prossimo giugno 2019 Livello di Patch di Protezione (SPL) e al di là automaticamente disaccoppiare interessati dispositivi Bluetooth, quindi non è necessario disaccoppiare manualmente. È anche possibile continuare a utilizzare il vostro USB o NFC chiavi di sicurezza, che sono supportati su Android e non interessati da questo problema.
Articolo aggiornato con Google commento in merito Feitian a marchio chiavi.
Più vulnerabilità di report:
Come prova MDS (Zombieload) stato di patch su Windows systemsSecurity difetti in 100+ Jenkins plugin di mettere le reti di imprese a rischio
Thrangrycat difetto consente agli aggressori impianto persistente backdoor su Cisco gearIntel Cpu influenzato dalle nuove Zombieload canale laterale attackPatch stato per la nuova MDS attacchi contro Intel CPUsMicrosoft Maggio 2019 Patch martedì arriva con il fix per Windows zero-day, MDS attacksKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati