Google korvaa Titan-suojausavain Bluetooth-virheen yli


Osana laajennetun tietojenkalastelu- ja tiliturvallisuustoimenpiteiden ansiosta Google tarjoaa laajan tuen fyysisten autentikointimerkkien käyttöön. Yllättävässä takaiskussa yritys kuitenkin ilmoitti tänään, että se on löytänyt oman Titan-suojausavainsa Bluetooth-version haavoittuvuuden, joka yhdistyy laitteisiin langattoman Bluetooth-matalan energian protokollan kautta eikä NFC: n tai fyysisen lisäyksen kautta porttiin .

Google alkoi myydä Titan-merkkisiä avaimia viime elokuussa ulkoistamalla kiinalaisen valmistajan Feitianin laitteiston itse hallittaessa salausavaimia. Kuka tahansa voi käyttää donglejä Googlen kanssa ylimääräisen suojan takia, mutta ne ovat erityisen suosivia käyttäjille, joilla on erityinen riski saada hyökkääjät, kuten julkiset henkilöt, ihmisoikeusaktivistit ja poliittiset toisinajattimet. Google suosittelee erityisesti BLE-donglejä sen Advanced Protection -ohjelmalle, joka tarjoaa entistä aggressiivisempia tilin suojauksia. Toisin sanoen ihmiset, joita vika eniten koskee, ovat ne, jotka ovat eniten huolissaan heidän turvallisuudestaan.

"Bluetooth on helppo väärinkäyttää."

Matthew Green, Johns Hopkinsin yliopisto

"Väärinkokoonpano", kuten Google kutsuu, sallii hyökkääjän, joka saa 30 metrin päästä jonkun, joka käyttää suojausavainta, kommunikoida kyseisen avaimen tai laitteen kanssa, johon avain on yhdistetty. Se vaikeuttaa haavoittuvuutta. Fyysisen läheisyyden lisäksi hyökkääjän on liitettävä nopeasti oma laite dongleen sekunneissa, jolloin kohde käynnistää pariliitosprosessin.

Jos se onnistuu, hyökkääjä, jolla oli jo tavoitteen käyttäjänimi ja salasana, voisi sitten kirjautua uhrin Google-tiliin omalla laitteellaan. Lisäksi, kun hyökkääjä on liittänyt kohteen Bluetooth-näppäimen, Google ehdottaa, että he voisivat vetää jonkinlaisen syötti- ja -kytkimen, kun uhri yrittää jälleen liittää laitteen Bluetooth-dongleensä. Oikean ajoituksen avulla he voisivat huijata uhrin kannettavan tietokoneen esimerkiksi pariksi Bluetooth-dongleäänsä Titan-avaimen sijasta ja saada näin sekä käyttäjän Google-tilin että kyseisen tietokoneen.

"Bluetooth on helppo väärinkäyttää", sanoo Johns Hopkinsin yliopiston salakirjoittaja Matthew Green. "Ja on olemassa vanhoja Bluetooth-versioita, jotka ovat aktiivisesti epävarmoja, mutta joita saattaa olla tuettu joissakin laitteissa."

Nämä mahdollisuudet tekevät tästä vakavasta virheestä, että Google korvaa minkä tahansa Titan BLE -merkkisen suojausavain, joka on linkitetty Google-tiliin. Google sanoo, että Microsoftin tutkijat ilmoittivat asiasta yrityksestä. Google lähettää sähköposteja tänään mahdollisesti vaikuttaville käyttäjille.

Google huomauttaa kuitenkin, että minkä tahansa toisen tekijän autentikointimerkin käyttäminen on vielä paljon suojaavampaa kuin ei. Loppujen lopuksi ilman tätä ylimääräistä puolustuskerrosta hyökkääjän, jolla on jo uhrin Google-tilin käyttäjätunnus ja salasana, ei tarvitsisi tehdä mitään fancy hackingiä pääsyn saamiseksi. Google panee myös merkille, että virhe ei vaikuta fyysisiin todennusmerkkeihin, jotka eivät käytä BLE: tä.

Aluksi Google ilmoitti korvaavansa Titan-merkkiset avaimet, jotka on merkitty "T1" ja "T2" takana. Mutta yritys kertoi WIREDille, että se korvaa myös muut Feitian-avaimet, jopa ne, joilla ei ole Titan-tuotemerkkiä, jotka on liitetty Google-tileihin, jos käyttäjä sai Googlelta avaimen tai jos se oli suunnattu ostamaan Googlen. Feitian ei palauttanut kommentin julkaisupyyntöä, mutta myös Feitan-merkkiset BLE-dongleet, joiden takana on "3", ovat haavoittuvia.

Jos käytät fyysisiä autentikointimerkkejä, älä anna tämän estää sinua. Hanki vain korvaava Bluetooth-dongle Googlelta, kun voit.


Lisää suuria WIRED-tarinoita