Sebezhető a Google Titan biztonsági kulcsának Bluetooth-os verziója

A Google szakemberei a Bluetooth eszközök párosításához használt protokoll konfigurációjában találtak hibát.

Sebezhető a Google Titan biztonsági kulcsának Bluetooth-os verziója

A Google tavaly jelentette be saját biztonsági kulcsait, amelyek USB és Bluetooth Low Energy kivitelben érkeztek. Előbbit egyszerűen a használni kívánt PC-hez kell csatlakoztatni, utóbbi pedig elsősorban mobileszközökhöz és noteszgépekhez való, amelyekkel Bluetooth Low Energy alapú kapcsolaton keresztül kommunikál. Mindkét eszköznek ugyanaz a célja: a felhasználónév és a jelszó mellett egy extra biztonsági réteget nyújtanak a különböző helyi és online felhasználói fiókokhoz, ugyanis a felhasználónév és a jelszó megadása után a biztonsági kulcsot is használni kell a sikeres belépéshez. Tehát lényegében kétlépcsős hitelesítést használó rendszerről van szó.

A Titan kulcsok körül eddig minden rendben ment, ám a Google szakemberei nemrégiben vették észre, hogy egyes Titan BLE eszközöknél rosszul konfigurálták a Bluetooth eszközök párosítását segítő protokollt, így biztonsági rés keletkezett, amelyek a felkészült támadók kihasználhatnak, ha a Titan BLE eszköz használatakor hatótávolságon belül vannak. Ennek eredményeként elméletben lehetőség van arra, hogy a támadók, akik tudják a felhasználónevünket és jelszavunkat, amit az adott bejelentkezéshez használni szeretnénk, a Titan BLE gombjának megnyomásakor saját eszközüket párosíthatják a mi Titan BLE biztonsági kulcsunkkal, így saját biztonsági kulcsunk segítségével léphetnek be saját felhasználói fiókunkba, ahol már kedvükre garázdálkodhatnak.

A sebezhetőségen keresztül egy másik támadásforma is kivitelezhető, amire a Google biztonságtechnikai blogja hívta fel a figyelmet. Ennek során a támadónak szintén közel, Bluetooth hatótávolságon belül kell lennie és úgy kell konfigurálnia eszközét, mint ha az a mi Titan BLE biztonsági kulcsunk lenne. Amikor megnyomjuk a Titan BLE gombját, a támadó eszköze csatlakozhat a mi eszközünkhöz, így hozzáférést nyerhet bizonyos tartalmakhoz, ami komoly veszélyt jelenthet.

Galéria megnyitása A jobb szélen látható a Bluetooth kapcsolatot használó Titan kulcs A fenti támadások kivitelezése persze nem egyszerű, hiszen a Bluetooth Low Energy szabványt használó eszközök hatótávolsága nagyjából 900 centiméter, vagyis ezen a körön belül kell tartózkodnia a támadónak, ami egy kávézóban még nem is megoldhatatlan feladat. Ennél nehezebb, hogy a támadást nagyon precízen kell időzítenie, azaz csak akkor kivitelezheti, ha a Titan BLE gombját megnyomják, vagyis nagyon kicsi időablak áll rendelkezésre, de a veszély ettől még valós, a sebezhetőség pedig támadható.

A támadást tehát nem egyszerű kivitelezni, de ennek ellenére is érdemes orvosolni a sebezhetőséget. Amennyiben a Bluetooth kapcsolatot használó Titan biztonsági kulcsunk hátoldalán „T1”, illetve „T2” jelölést látunk, akkor sebezhető eszközről van szó, amit a Google cserélni fog.

A cserefolyamat elindításához erre a weboldalra kell ellátogatni, majd be kell jelentkezni a Google felhasználói fiókunkba, ha éppen nem vagyunk bejelentkezve, hogy a rendszer ellenőrizhesse, tényleg sebezhető Titan biztonsági kulccsal rendelkezünk-e. A Bluetooth-os Titan kulcsok segítéségével a kétlépcsős hitelesítést így is biztonságosan el lehet végezni, vagyis az online támadások ellen továbbra is védenek, az USB-s változat pedig továbbra is teljesen biztonságos, ugyanis azon semmiféle ismert biztonsági rés nincs.

A Google tájékoztatása szerint az iOS felhasználók a 12.2-es rendszerrel továbbra is használhatják a Titan BLE kulcsokat, ám érdemes törekedniük arra, hogy biztonságos, privát helyen jelentkezzenek be felhasználói fiókjaikba, így elkerülhetik a támadásokat. Amennyiben a 12.3-as rendszerre frissítenek, a Titan BLE kulcs nem működik tovább, így ha be vannak jelentkezve Google felhasználói fiókjukba az adott eszközön, ne jelentkezzenek ki, mert nem engedi vissza őket a rendszer az adott kulccsal, csak ha megkapták a cserekulcsot. Amennyiben valaki mégis kizárja magát, ezeket az utasításokat kell követnie.

Android alatt az érkező June 2019 Security Patch Level frissítés automatikusan eltávolítja a párosított eszközök közül a sérülékeny Titan BLE kulcsokat, így azokat nem kell manuálisan eltávolítani, az NFC támogatással is rendelkező USB-s kulcs azonban használható marad, amennyiben rendelkezésre áll. A többi eszköznél a Google fiókba történő bejelentkezés után érdemes azonnal eltávolítani az eszközök közül a sebezhető Titan BLE kulcsot. Az USB-s és az NFC-s azonosítás továbbra is működik majd, amennyiben rendelkezünk ilyen kulccsal.

Neked ajánljuk

Kiemelt
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
0% THM
{{ product.displayName }}
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap