Afbeelding: ZDNet
Na een pompeuze lancering, afgelopen juli, Google heeft vandaag aangekondigd dat het zal vervangen Titan beveiliging toetsen vanwege een beveiligingslek het bedrijf ontdekten in de toetsen’ Bluetooth pairing-proces.
Google zei dat de beveiliging lek kunnen aanvallers over te nemen van de apparaten van gebruikers en/of inloggen op de accounts van de gebruikers, hoewel de sleutels moeten veilig zijn om te gebruiken onder bepaalde voorwaarden.
Alle gebruikers die eigen Titan beveiliging sleutels die u kunt koppelen (verbinden), met een apparaat via een Bluetooth-zijn nu in aanmerking voor een gratis vervanging.
Titan beveiliging sleutels zonder Bluetooth-mogelijkheden worden niet beïnvloed, zoals die werkt via NFC of USB.
Eigenaren van Bluetooth-Titan-toetsen kunt deze pagina om te zien of hun apparaat is kwetsbaar, waar ze krijgt instructies over hoe toe te passen en krijgen een vervanging.
“Als het een ‘T1’ of ‘T2’ op de achterkant van de sleutel, uw sleutel is beïnvloed door het probleem en in aanmerking komt voor gratis vervanging van de” Google zei vandaag in een blog post.
Google ‘ s Titan-branded sleutels zijn alleen verkrijgbaar in de VS. Dezelfde toetsen in andere landen verkocht worden onder hun oorspronkelijke Feitian merk. Een Google-woordvoerder vertelde ZDNet dat niet-AMERIKAANSE gebruikers kunnen gebruik maken van dezelfde google.com/replacemykey pagina om te controleren of hun Feitian toetsen worden beïnvloed, maar Feitian zal omgaan met de procedure voor vervanging als gebruikers worden beïnvloed en in aanmerking komen voor een nieuwe sleutel.
De lek
Volgens Google, de lek is te wijten aan “een verkeerde instelling in de Titan Security Keys’ Bluetooth protocollen.”
Dit lek kan worden misbruikt door een aanvaller die fysiek aanwezig is (binnen een straal van ongeveer 30 meter) van een Titan gebruiker, en wanneer gebruikers met behulp van de toets normaal, of wanneer ze voor het eerst te koppelen aan hun computer.
Bijvoorbeeld, wanneer een gebruiker voor het eerst paren hun Titan veiligheid belangrijk is voor hun apparaat, een aanvaller kan misbruik maken van de fout in het Bluetooth-protocol te kapen van dit proces en ook een paar malafide Bluetooth-apparaat op de computer van de gebruiker. De aanvaller kan later opnieuw toewijzen deze schurk apparaat, zoals een Bluetooth-toetsenbord, die ze later kunnen gebruiken voor het uitvoeren van kwaadaardige commando ‘ s te kapen van de apparaten van gebruikers.
Bovendien, wanneer een apparaat eigenaar op de activeringstoets op de Titan beveiligingssleutel te melden bij een online account, een aanvaller kan ook toestaan dat een rogue-apparaat om toegang te krijgen tot dat account, als de aanvaller heeft ook een geldig wachtwoord in.
Google: Gebruikers zouden verder moeten gaan met behulp van de toetsen
Het is vanwege deze redenen dat Google nu het vervangen van deze toetsen. Echter, het bedrijf aanbevolen dat gebruikers niet stoppen met het gebruik van de sleutels tot de vervanging, als ze kunnen zorgen voor een verhoogde veiligheid in vergelijking met geen gebruik van een security-toets.
“Het is nog veiliger om een sleutel te gebruiken met dit probleem, eerder dan het uitschakelen van de beveiliging key-based authenticatie in twee stappen (2SV) op uw Google-Account of downgraden naar minder phishing-bestendig methoden (bijvoorbeeld SMS codes of aanwijzingen naar uw apparaat gestuurd),” Google gezegd.
Google kondigde de Titan beveiligingssleutels in juli vorig jaar. Het bedrijf publiceerde het volgende advies voor eigenaren van defecte Bluetooth-aangedreven Titan beveiligingssleutels, totdat vervangers komen.
iOS-apparaten:
Op apparaten met iOS versie 12.2 of eerder, raden we het gebruik van uw aangedane sleutel van een eigen plek waar een potentiële aanvaller niet in de directe fysieke nabijheid (ongeveer 30 meter). Nadat je hebt gebruikt uw sleutel aan te melden bij uw Google-Account op uw apparaat, direct ontkoppelen. U kunt gebruik maken van uw sleutel op deze manier weer terwijl u wacht op uw vervanging, totdat u de update naar iOS 12.3.
Nadat u de update naar iOS 12.3, je beïnvloed beveiligingssleutel niet meer zal werken. U zult niet in staat zijn om het gebruik van uw aangedane toets om in te loggen bij uw Google-Account of een ander account, beschermd door de sleutel, en zal je nodig hebt om een vervangende toets. Als u al bent aangemeld bij uw Google-Account op uw iOS-apparaat, niet ondertekenen, omdat u niet in staat zijn om u opnieuw aan te melden totdat u een nieuwe sleutel. Als u buitengesloten van uw Google-Account op uw iOS-apparaat voordat de vervangende toets binnenkomt, zie de volgende instructies voor het krijgen van terug in uw account. Let op dat u verder kunt aanmelden bij uw Google-Account op niet-iOS-apparaten..
Op Android-en andere apparaten:
Wij raden u aan uw aangetast sleutel van een eigen plek waar een potentiële aanvaller niet in de directe fysieke nabijheid (ongeveer 30 meter). Nadat je hebt gebruikt uw aangedane security-toets om in te loggen bij uw Google-Account, direct ontkoppelen. Android-apparaten bijgewerkt met de aankomende juni 2019 Security Patch Level (SPL) en dan zal automatisch ontkoppelen beïnvloed Bluetooth-apparaten, zodat u niet hoeft te ontkoppelen handmatig. U kunt ook gebruik blijven maken van uw USB-of NFC beveiliging sleutels, die worden ondersteund op Android-en niet beïnvloed door dit probleem.
Artikel bijgewerkt met Google opmerking over Feitian-branded toetsen.
Meer kwetsbaarheid rapporten:
Hoe om te testen MDS (Zombieload) patch status op Windows systemsSecurity gebreken in 100+ Jenkins plugins zetten enterprise netwerken in gevaar
Thrangrycat lek stelt aanvallers plant aanhoudende backdoors op Cisco gearIntel Cpu ‘ s beïnvloed door nieuwe Zombieload side-channel attackPatch status voor de nieuwe MDS aanvallen tegen Intel CPUsMicrosoft Mei 2019 Patch dinsdag komt met fix voor Windows zero-dag, MDS attacksKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters