A Google tavaly jelentette be saját biztonsági kulcsait, amelyek USB és Bluetooth Low Energy kivitelben érkeztek. Előbbit egyszerűen a használni kívánt PC-hez kell csatlakoztatni, utóbbi pedig elsősorban mobileszközökhöz és noteszgépekhez való, amelyekkel Bluetooth Low Energy alapú kapcsolaton keresztül kommunikál. Mindkét eszköznek ugyanaz a célja: a felhasználónév és a jelszó mellett egy extra biztonsági réteget nyújtanak a különböző helyi és online felhasználói fiókokhoz, ugyanis a felhasználónév és a jelszó megadása után a biztonsági kulcsot is használni kell a sikeres belépéshez. Tehát lényegében kétlépcsős hitelesítést használó rendszerről van szó.

A Titan kulcsok körül eddig minden rendben ment, ám a Google szakemberei nemrégiben vették észre, hogy egyes Titan BLE eszközöknél rosszul konfigurálták a Bluetooth eszközök párosítását segítő protokollt, így biztonsági rés keletkezett, amelyek a felkészült támadók kihasználhatnak, ha a Titan BLE eszköz használatakor hatótávolságon belül vannak. Ennek eredményeként elméletben lehetőség van arra, hogy a támadók, akik tudják a felhasználónevünket és jelszavunkat, amit az adott bejelentkezéshez használni szeretnénk, a Titan BLE gombjának megnyomásakor saját eszközüket párosíthatják a mi Titan BLE biztonsági kulcsunkkal, így saját biztonsági kulcsunk segítségével léphetnek be saját felhasználói fiókunkba, ahol már kedvükre garázdálkodhatnak.

A sebezhetőségen keresztül egy másik támadásforma is kivitelezhető, amire a Google biztonságtechnikai blogja hívta fel a figyelmet. Ennek során a támadónak szintén közel, Bluetooth hatótávolságon belül kell lennie és úgy kell konfigurálnia eszközét, mint ha az a mi Titan BLE biztonsági kulcsunk lenne. Amikor megnyomjuk a Titan BLE gombját, a támadó eszköze csatlakozhat a mi eszközünkhöz, így hozzáférést nyerhet bizonyos tartalmakhoz, ami komoly veszélyt jelenthet.

A jobb szélen látható a Bluetooth kapcsolatot használó Titan kulcs

A támadást tehát nem egyszerű kivitelezni, de ennek ellenére is érdemes orvosolni a sebezhetőséget. Amennyiben a Bluetooth kapcsolatot használó Titan biztonsági kulcsunk hátoldalán „T1”, illetve „T2” jelölést látunk, akkor sebezhető eszközről van szó, amit a Google cserélni fog.

A cserefolyamat elindításához erre a weboldalra kell ellátogatni, majd be kell jelentkezni a Google felhasználói fiókunkba, ha éppen nem vagyunk bejelentkezve, hogy a rendszer ellenőrizhesse, tényleg sebezhető Titan biztonsági kulccsal rendelkezünk-e. A Bluetooth-os Titan kulcsok segítéségével a kétlépcsős hitelesítést így is biztonságosan el lehet végezni, vagyis az online támadások ellen továbbra is védenek, az USB-s változat pedig továbbra is teljesen biztonságos, ugyanis azon semmiféle ismert biztonsági rés nincs.

A Google tájékoztatása szerint az iOS felhasználók a 12.2-es rendszerrel továbbra is használhatják a Titan BLE kulcsokat, ám érdemes törekedniük arra, hogy biztonságos, privát helyen jelentkezzenek be felhasználói fiókjaikba, így elkerülhetik a támadásokat. Amennyiben a 12.3-as rendszerre frissítenek, a Titan BLE kulcs nem működik tovább, így ha be vannak jelentkezve Google felhasználói fiókjukba az adott eszközön, ne jelentkezzenek ki, mert nem engedi vissza őket a rendszer az adott kulccsal, csak ha megkapták a cserekulcsot. Amennyiben valaki mégis kizárja magát, ezeket az utasításokat kell követnie.

Android alatt az érkező June 2019 Security Patch Level frissítés automatikusan eltávolítja a párosított eszközök közül a sérülékeny Titan BLE kulcsokat, így azokat nem kell manuálisan eltávolítani, az NFC támogatással is rendelkező USB-s kulcs azonban használható marad, amennyiben rendelkezésre áll. A többi eszköznél a Google fiókba történő bejelentkezés után érdemes azonnal eltávolítani az eszközök közül a sebezhető Titan BLE kulcsot. Az USB-s és az NFC-s azonosítás továbbra is működik majd, amennyiben rendelkezünk ilyen kulccsal.