Anonim
Google Titan配对

由于存在漏洞,如果附近有黑客入侵,这些设备可能会被利用,因此Google可以免费替换公司的Bluetooth Titan安全密钥。

该问题与产品的蓝牙配对协议中的配置错误有关。 通常,该密钥的工作方式如下:将其靠近PC或智能手机,该密钥将通过蓝牙进行通信以解锁对您的在线帐户的访问。 但是,谷歌发现攻击者有可能在登录期间介入并劫持蓝牙配对过程。

“当您尝试登录设备上的帐户时,通常会要求您按下[Bluetooth Low Energy]安全密钥上的按钮以将其激活。当时靠近物理位置的攻击者可能会与您建立联系在您自己的设备连接之前,将其自己的设备连接到受影响的安全密钥。”

泰坦安全钥匙包 (Bluetooth Titan Key on the left; USB Titan Key on the right.)

Still, it should be noted that this attack would be hard to pull off. You' d need to be within 30 feet of the security key and present during the sign-in process. You'd also have to know the victim's username and password.

也就是说,Google一直在向企业出售其安全关键技术,这些企业必须担心内部威胁和企业间谍活动。 该公司告诉PCMag,该错误实际上是由Microsoft报告的。

相同的错误也可以为黑客使用流氓设备通过蓝牙短暂地模拟受害者的Titan安全密钥铺平道路。 布兰德说:“在那之后,[黑客]可能试图将其设备更改为蓝牙键盘或鼠标,并可能在您的设备上采取措施。”

作为回应,Google向受影响的所有者提供了免费的替换密钥。 您可以通过检查设备背面来确定自己是否有故障的Bluetooth Titan安全密钥。 如果它的底部有一个“ T1”或“ T2”,则您的密钥受此错误困扰。

蓝牙泰坦故障键

去年,Google开始销售该产品,将其作为50美元捆绑销售的一部分,其中包含一个蓝牙密钥和一个标准USB安全密钥。 由于担心黑客会试图利用此漏洞,该公司拒绝提供有关今天的漏洞以及如何计划修复该漏洞的详细信息。

谷歌安全密钥的制造商是中国供应商飞天,该公司称其自己的蓝牙安全密钥也遭受同样的错误困扰。 该公司还向受影响的所有者提供免费更换钥匙。

有关

  • Microsoft现在允许您使用安全密钥来解锁您的帐户Microsoft现在允许您使用安全密钥来解锁您的帐户
  • Yubico安全密钥NFC Yubico安全密钥NFC
  • Google提供Android手机的内置安全密钥功能Google提供Android手机的内置安全密钥功能

竞争对手厂商Yubico拒绝提供蓝牙安全密钥,称该技术“不符合我们的安全性,可用性和耐用性标准”。 该公司去年表示:“ BLE(蓝牙低功耗)无法提供NFC和USB的安全保证级别,并且需要电池和配对设备,从而带来糟糕的用户体验。”

编者注:这个故事已得到纠正,以表明Google不会召回该产品,而是提供免费更换产品。