Bild: ZDNet
Efter en pompös lanseringen i juli förra året, Google meddelade idag att man kommer att ersätta Titan nycklar säkerhet på grund av en sårbarhet företaget upptäckte i-nycklar Bluetooth-processen.
Google sade säkerhetsproblem gör det möjligt för angripare att ta över användarnas enheter och/eller logga in på användarnas konton, även om knapparna ska vara säkert att använda under vissa förutsättningar.
Alla användare som äger Titan säkerhet nycklar som kan par (anslut) med en enhet via Bluetooth är nu berättigad till en fri ersättning.
Titan nycklar säkerhet utan Bluetooth-funktioner inte påverkas, till exempel de som arbetar via NFC eller USB.
Ägare av Bluetooth-kompatibla Titan knappar kan man komma åt denna sida för att se om deras enheter är utsatta, där de kommer att få instruktioner om hur man ansöker och får en ersättare.
“Om den har en” T1 “eller” T2 ” på baksidan av nyckeln, nyckeln påverkas av problemet och är berättigade till gratis utbyte,” Google meddelade idag i ett blogginlägg.
Googles Titan-märkta nycklar är bara säljs i USA. Samma nycklar som säljs i andra länder under deras ursprungliga Feitian varumärke. En av Googles talesperson berättade ZDNet att icke-AMERIKANSKA användare kan använda samma google.com/replacemykey sidan för att kontrollera om deras Feitian nycklar påverkas, men Feitian kommer att hantera ersättning processen om användarna påverkas och få en ny nyckel.
Säkerhetsbrist
Enligt Google, säkerhet fel är på grund av “felaktig konfiguration i Titan Säkerhet Keys Bluetooth-protokoll”.
Detta fel kan utnyttjas av en angripare som är fysiskt närvarande (inom ca 30 meter) av en Titan användaren, och när användare är att använda nyckeln normalt, eller när de först koppla ihop det till sin dator.
Till exempel, när en användare för första gången par deras Titan säkerhet nyckeln till deras enhet, en angripare kan utnyttja en svaghet i Bluetooth-protokollet för att kapa denna process och även koppla ihop en skurk Bluetooth-enheten till användarens dator. Angriparen kan senare komma att tilldela denna falska enhet som ett Bluetooth-tangentbord, som de senare kan använda för att köra skadlig kommandon för att stjäla användares enheter.
Dessutom, när en enhet ägare pressar aktivering knappen på Titan säkerhetsnyckel för att logga in på ett online-konto, en angripare kan också godkänna en skurk enhet för att få tillgång till konto-anfallare så länge som också har ett giltigt lösenord.
Google: Användare bör fortsätta med hjälp av knapparna
Det är på grund av dessa skäl att Google är nu ersätter dessa nycklar. Men företaget rekommenderas att användarna ska du inte sluta använda tangenterna tills de får en ersättning, eftersom de kan ge förbättrad säkerhet, jämfört med att inte använda en säkerhetsnyckel.
“Det är ändå mycket säkrare att använda en nyckel som har det här problemet, snarare än att stänga av säkerhetsnyckel-baserade två-stegs-verifiering (2SV) på ditt Google-Konto eller nedgradering till mindre phishing-resistenta metoder (t ex SMS-koder eller uppmaningar som skickas till din enhet),” Google säger.
Google meddelade Titan nycklar säkerhet i juli förra året. Bolaget publicerade följande råd till ägare av felaktiga Bluetooth-drivna Titan nycklar säkerhet, till dess ersättare anlänt.
iOS-enheter:
På enheter som kör iOS version 12.2 eller tidigare, rekommenderar vi att du använder din påverkas säkerhetsnyckeln i en privat plats där en potentiell angripare är inte inom fysisk närhet (ca 30 meter). Efter att du har använt din nyckel för att logga in på ditt Google-Konto på din enhet, omedelbart ta bort parkopplingen. Du kan använda din nyckel på detta sätt igen medan du väntar på att din ersättning, tills du uppdaterar till iOS 12.3.
När du uppdaterar till iOS 12.3, din påverkas säkerhetsnyckel kommer inte längre att fungera. Du kommer inte att kunna använda din påverkas tangenten för att logga in på ditt Google-Konto eller andra konton som skyddas av nyckeln, och du kommer att behöva beställa en ersättningsnyckel. Om du redan har loggat in på ditt Google-Konto på din iOS-enhet, ska du inte logga in eftersom du inte kommer att kunna logga in igen tills du får en ny nyckel. Om du är utelåst från ditt Google-Konto på din iOS-enhet innan din ersättande nyckel kommer att se dessa instruktioner för att komma tillbaka till ditt konto. Observera att du kan fortsätta att logga in på ditt Google-Konto på icke-iOS-enheter..
På Android-enheter och andra enheter:
Vi rekommenderar att du använder din påverkas säkerhetsnyckeln i en privat plats där en potentiell angripare är inte inom fysisk närhet (ca 30 meter). Efter att du har använt din påverkas säkerhetsnyckel för att logga in på ditt Google-Konto, omedelbart ta bort parkopplingen. Android-enheter uppdaterats med den kommande juni 2019 Security Patch Nivå (SPL) och därefter kommer automatiskt att ta bort parkoppling påverkas Bluetooth-enheter, så att du inte behöver ta bort parkoppling manuellt. Du kan också fortsätta att använda ditt USB-eller NFC nycklar säkerhet, som stöds på Android och inte påverkas av det här problemet.
Artikeln uppdaterad med Google kommentar om Feitian-märkta nycklar.
Mer sårbarhet rapporter:
Hur att testa MDS (Zombieload) patch status på Windows systemsSecurity brister i 100+ Jenkins plugins sätta företagets nätverk på risk
Thrangrycat fel låter angripare anläggning bestående bakdörrar på Cisco gearIntel Processorer påverkas av nya Zombieload sida-kanal attackPatch status för den nya MDS attacker mot Intel CPUsMicrosoft Maj 2019 Patch tisdag anländer med fix för Windows zero-day, MDS attacksKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter