neprihlásený Streda, 17. júla 2019, dnes má meniny Bohuslav   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Google má zraniteľnosť vo fyzickom bezpečnostnom kľúči, vymieňa ho

Značky: Googlebezpečnosť

DSL.sk, 16.5.2019


V bezdrôtovej verzii fyzického bezpečnostného kľúča Titan Security Key od spoločnosti Google sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útoky v dosahu Bluetooth signálu a spoločnosť tak kľúče bezplatne vymieňa.

Ide o ďalší z radu významnejších bezpečnostných problémov v rozličných produktoch, ktoré boli ohlásené tento týždeň.

Titan Security Key je paradoxne kľúčom, ktorý má zabezpečiť vyššiu bezpečnosť užívateľov. Ide o kľúč štandardu FIDO a slúži na zabezpečenie bezpečnejšieho a zároveň pohodlnejšieho dvojfaktorového overovania napríklad oproti SMS kódom. Prvým faktorom je heslo užívateľa, druhým vlastnenie s účtom spárovaného fyzického kľúča a stlačenie tlačidla na ňom po výzve pri prihlásení.

Google ho začal ponúkať v dvoch verziách v minulom roku zatiaľ zrejme len v USA, obe disponujú podporou fungovania cez USB a NFC a bezdrôtová aj cez Bluetooth. Problém sa nachádza práve v bezdrôtovej verzii, konkrétne ide podľa stručného opisu spoločnosti o zlú konfiguráciu v protokoloch Bluetooth párovania.

Zraniteľnosť sa dá podľa spoločnosti útočníkom v dosahu signálu využiť dvomi spôsobmi. Keď sa užívateľ pomocou kľúča chce prihlásiť do svojho účtu na jeho počítačovom zariadení a má stlačiť tlačidlo na kľúči, ku kľúču sa v tom momente môže pripojiť zariadenie útočníka skôr ako zariadenie užívateľa a útočník sa môže prihlásiť do účtu užívateľa ak zároveň pozná jeho prihlasovacie údaje.


Google Titan Security Key, vľavo bezdrôtová Bluetooth verzia, kliknite pre zväčšenie (foto: Google)



Okrem toho sa zariadenie útočníka môže tváriť ako spárovaný kľúč voči počítačovému zariadeniu užívateľa, s ktorým kľúč užívateľ využíva. Útočník sa môže úspešne k zariadeniu pripojiť v momente, keď má užívateľ stlačiť tlačidlo na kľúči. Zariadenie útočníka sa potom môže pokúsiť zmeniť typ zariadenia napríklad na Bluetooth klávesnicu alebo myš a uskutočňovať akcie na zariadení užívateľa.

Podľa Google je aj napriek tomuto problému stále kvôli ochrane proti phishingu bezpečnejšie využívať tento kľúč ako kľúč prestať hneď používať a vypnúť dvojfaktorové overovanie respektíve používať jeho menej bezpečné metódy ako SMS a výzvy na zariadení. Užívateľom ale odporúča kľúč vymeniť.

Dovtedy ho odporúča používať na súkromných miestach s minimálnou vzdialenosťou 30 stôp, teda cca 9.14 metrov, od potenciálnych útočníkov. Či je možné dosah útokov zväčšiť pomocou výkonnejších a citlivejších antén a do akej miery nie je jasné.

Zároveň Google hneď po použití kľúča na prihlásenie odporúča zrušiť jeho párovanie so zariadením. Bluetooth verzia kľúča sa zrejme často používa s mobilnými zariadeniami. V prípade iOS po upgrade na iOS 12.3 kľúč s problémom už nebude vôbec fungovať, v prípade Androidu s budúcimi júnovými aktualizáciami sa kľúču automaticky po prihlásení ku Google účtu zruší párovanie.

Zraniteľný kľúč je možné poznať podľa verzie uvedenej v jeho spodnej časti, zraniteľné sú verzie T1 a T2. Či už Google dodával nejaký čas novšiu opravenú verziu nie je jasné. Bližšie informácie o výmene je možné nájsť na google.com/replacemykey.


      Zdieľaj na Twitteri



Najnovšie články:

Galileo už nejde takmer šesť dní, EÚ podrobnosti nezverejnila
Explóziu Crew Dragon spôsobilo zapálenie titánu, vyžiada si konštrukčnú zmenu
V noci príde k zatmeniu Mesiaca, ďalšie až o 6 rokov
Školy v Nemecku nemôžu používať Office 365, kvôli ochrane osobných údajov študentov
Apple použila v novom MacBook Air zrejme výrazne pomalší SSD
Británia si uctí Turinga, dá ho na novú bankovku
Microsoft Word dosiahol miliardu inštalácií na Androide
Ďalšia vyznamná linuxová distribúcia nebude podporovať 32-bitové PC
Galileo už nejde štyri dni, prevádzkovateľ dôvody nevysvetlil
RTVS v DVB-T zvažuje zrušenie SD, rádiá, prvý multiplex a DVB-T2


Diskusia:
                               
 

Prjekak
Odpovedať Známka: 6.9 Hodnotiť:
 

prečo píšeš po srbsky??
Odpovedať Známka: 0.9 Hodnotiť:
 

Stale bezpecnejsie ako ten dvojfaktor nepouzivat. Radovo bezpecnejsie.
Odpovedať Známka: 0.0 Hodnotiť:
 

presne. ten skvely pocit bezpecnosti, ked si PC deravym XEONom autentifikujes goolackym klucikom...
Odpovedať Známka: 6.7 Hodnotiť:
 

Super a? Alternativa ze si ten PC autentifikujes iba menom a heslom je bezpecnejsia? Miesanie sem xeona nedava ziaden vyznam. Nepisal som, ze nemozes mat amd/qualcomm alebo nieco ine.
Odpovedať Hodnotiť:
 

..som vyuceny zamecnik, pustite ma k temu, (mam tu aj vercajkch!

sa to musi vyvrtat, vysrobuvat, zabrusit, odvrtat)
Odpovedať Známka: 1.1 Hodnotiť:
 

neni si náhodou ezermešter??
Odpovedať Známka: 7.5 Hodnotiť:
 

neni je
Odpovedať Známka: 5.0 Hodnotiť:
 

Na každý jeden zámok sú aspoň tri kľúče.
Odpovedať Známka: 10.0 Hodnotiť:
 

Menovite: foreign key, primary key a desina vidlicova (moze byt aj capovana)
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Napriklad kodovaci zamok otvara podla kazdeho dvere vzdy priekazne inam.
Odpovedať Známka: 6.0 Hodnotiť:
 

Dal som ti lajk,aby ti ostala desina ... . Chcel by som ta niekedy spoznat osobne ;)
Odpovedať Hodnotiť:
 

ani titan, ani security..
Odpovedať Známka: 4.0 Hodnotiť:
 

google
a bezpecnost... sukromie.....


?????????????????
Odpovedať Známka: 3.3 Hodnotiť:
 

"odporúča používať na súkromných miestach s minimálnou vzdialenosťou cca 9.14 metrov od potenciálnych útočníkov" - a ja somar som si dom postavil co najblizsie k hranici pozemku co stavebny zakon dovolil.
Odpovedať Hodnotiť:

Pridať komentár