Billede: ZDNet
Efter en pompøs lanceringen i juli sidste år, Google annoncerede i dag, at det vil erstatte Titan security keys på grund af en sårbarhed virksomheden opdaget i tasterne ” Bluetooth-parring proces.
Google sagde, at det sikkerhedshul gør det muligt for angribere at overtage brugernes enheder og/eller log ind i brugernes konti, selv om de nøgler, skal være sikre at anvende under visse betingelser.
Alle brugere, der ejer Titan security nøgler, der kan parres (opret forbindelse) med en anden enhed via Bluetooth, er nu berettiget til en erstatning.
Titan security keys uden Bluetooth evner ikke er påvirket, såsom dem, der fungerer via NFC eller USB.
Ejere af Bluetooth-kompatibel Titan nøgler kan få adgang til denne side for at se, om deres enhed er sårbare, hvor de vil modtage instruktioner om, hvordan man ansøge og modtage en erstatning.
“Hvis det er en ‘T1’ eller ‘T2’ på bagsiden af det vigtigste, din nøgle er påvirket af problemet, og er berettiget til erstatning,” sagde Google i dag i et blog-indlæg.
Google ‘ s Titan-mærkevarer nøgler er kun solgt i USA. De samme nøgler er, der sælges i andre lande under deres oprindelige Feitian brand. En Google-talsmand fortalte ZDNet, at ikke-AMERIKANSKE brugere kan bruge den samme google.com/replacemykey -side for at kontrollere, om deres Feitian nøgler er påvirket, men Feitian vil håndtere udskiftningen hvis brugerne er påvirket og er berettiget til en ny nøgle.
Det sikkerhedshul
Ifølge Google, sikkerhed fejl er på grund af “en fejlkonfiguration i Titan Security Keys” Bluetooth-parring protokoller.”
Denne fejl kan udnyttes af en angriber, der er fysisk til stede (inden for ca 30 fod) fra en Titan bruger, og når brugerne er med nøglen som normalt, eller når de første parring er det til deres computer.
For eksempel, når en bruger første par deres Titan security-tasten for at deres enhed, en hacker kan udnytte fejl i Bluetooth-parring-protokollen til at kapre denne proces, og også et par useriøse Bluetooth-enhed til brugerens computer. Angriberen kan igen senere, skal du tildele denne rogue enheden som et Bluetooth-tastatur, som de senere kan bruge til at køre ondsindede kommandoer til at kapre brugernes enheder.
Hertil kommer, når en enhed, der ejer trykker på aktiveringsknappen på Titan security-tasten for at logge ind på en online-konto, kan en hacker kan også give en rogue enhed for at få adgang til konto-så længe angriberen også har et gyldigt password.
Google: Brugere bør fortsætte med at bruge tasterne
Det er på grund af disse grunde, at Google er nu at erstatte disse nøgler. Men virksomheden anbefales, at brugerne ikke stoppe med at bruge tasterne, indtil de får en erstatning, som de kan give en øget sikkerhed i forhold til ikke at bruge en sikkerhedsnøgle, efter at alle.
“Det er stadig sikrere at bruge en nøgle, der har dette problem, snarere end at slå sikkerhed nøgle-baseret to-trins verifikation (2SV) på din Google-Konto eller en nedgradering til en mindre phishing-resistente metoder (fx SMS-koder eller prompter, der sendes til din enhed),” Google sagde.
Google annoncerede Titan security keys i juli sidste år. Selskabet har offentliggjort følgende råd til ejere af defekte Bluetooth-drevet Titan security-tasterne, indtil udskiftninger ankommer.
iOS-enheder:
På enheder, der kører iOS version 12.2 eller tidligere, anbefaler vi, ved hjælp af din påvirket sikkerhedsnøgle i en privat sted, hvor en potentiel angriber er ikke i tæt fysisk nærhed (omtrent 30 fod). Efter du har brugt din nøgle til at logge ind på din Google-Konto på din enhed, skal du straks ophæve parringen. Du kan bruge din nøgle på denne måde igen, mens du venter på din erstatning, indtil du opdatere til iOS 12.3.
Når du har opdateret til iOS 12.3, din påvirket sikkerhedsnøgle ikke længere fungere. Du vil ikke være i stand til at bruge din påvirket nøgle til at logge ind på din Google-Konto, eller enhver anden konto er beskyttet af den nøgle, og du bliver nødt til at bestille en ny nøgle. Hvis du allerede er logget ind på din Google-Konto på din iOS-enhed, skal du ikke logger ud, fordi du ikke vil være i stand til at logge på igen, indtil du får en ny nøgle. Hvis du er låst ude af din Google-Konto på din iOS-enhed, før din nye nøgle ankommer, se disse instruktioner for at komme tilbage til din konto. Bemærk, at du kan fortsætte med at logge ind på din Google-Konto på ikke-iOS enheder..
På Android og andre enheder:
Vi anbefaler, at du bruger din påvirket sikkerhedsnøgle i en privat sted, hvor en potentiel angriber er ikke i tæt fysisk nærhed (omtrent 30 fod). Efter du har brugt din påvirket sikkerhed-tasten for at logge ind på din Google-Konto, skal du straks ophæve parringen. Android-enheder opdateret med de kommende juni 2019 Security Patch-Niveau (SPL) og ud over vil automatisk parring, der berøres Bluetooth-enheder, så du behøver ikke at parringen manuelt. Du kan også fortsætte med at bruge din USB-nøgle eller NFC sikkerhed nøgler, som er understøttet af Android og ikke påvirket af dette problem.
Artikel opdateret med Google kommentar om Feitian-mærkevarer nøgler.
Mere sårbarhed rapporter:
Hvordan til at teste MDS (Zombieload) patch status på Windows systemsSecurity fejl i 100+ Jenkins plugins sætte virksomhedens netværk på en risiko
Thrangrycat fejl lader angribere plante vedvarende bagdøre på Cisco gearIntel Cpu ‘ er, der påvirkes af nye Zombieload side-kanal attackPatch status for det nye MDS-angreb mod Intel CPUsMicrosoft Kan 2019 Patch tirsdag ankommer med fix for Windows nul-dag, MDS attacksKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre