neprihlásený Nedeľa, 6. júla 2025, dnes má meniny Patrik, Patrícia
Google má zraniteľnosť vo fyzickom bezpečnostnom kľúči, vymieňa ho

Značky: Googlebezpečnosť

DSL.sk, 16.5.2019


V bezdrôtovej verzii fyzického bezpečnostného kľúča Titan Security Key od spoločnosti Google sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útoky v dosahu Bluetooth signálu a spoločnosť tak kľúče bezplatne vymieňa.

Ide o ďalší z radu významnejších bezpečnostných problémov v rozličných produktoch, ktoré boli ohlásené tento týždeň.

Titan Security Key je paradoxne kľúčom, ktorý má zabezpečiť vyššiu bezpečnosť užívateľov. Ide o kľúč štandardu FIDO a slúži na zabezpečenie bezpečnejšieho a zároveň pohodlnejšieho dvojfaktorového overovania napríklad oproti SMS kódom. Prvým faktorom je heslo užívateľa, druhým vlastnenie s účtom spárovaného fyzického kľúča a stlačenie tlačidla na ňom po výzve pri prihlásení.

Google ho začal ponúkať v dvoch verziách v minulom roku zatiaľ zrejme len v USA, obe disponujú podporou fungovania cez USB a NFC a bezdrôtová aj cez Bluetooth. Problém sa nachádza práve v bezdrôtovej verzii, konkrétne ide podľa stručného opisu spoločnosti o zlú konfiguráciu v protokoloch Bluetooth párovania.

Zraniteľnosť sa dá podľa spoločnosti útočníkom v dosahu signálu využiť dvomi spôsobmi. Keď sa užívateľ pomocou kľúča chce prihlásiť do svojho účtu na jeho počítačovom zariadení a má stlačiť tlačidlo na kľúči, ku kľúču sa v tom momente môže pripojiť zariadenie útočníka skôr ako zariadenie užívateľa a útočník sa môže prihlásiť do účtu užívateľa ak zároveň pozná jeho prihlasovacie údaje.


Google Titan Security Key, vľavo bezdrôtová Bluetooth verzia, kliknite pre zväčšenie (foto: Google)



Okrem toho sa zariadenie útočníka môže tváriť ako spárovaný kľúč voči počítačovému zariadeniu užívateľa, s ktorým kľúč užívateľ využíva. Útočník sa môže úspešne k zariadeniu pripojiť v momente, keď má užívateľ stlačiť tlačidlo na kľúči. Zariadenie útočníka sa potom môže pokúsiť zmeniť typ zariadenia napríklad na Bluetooth klávesnicu alebo myš a uskutočňovať akcie na zariadení užívateľa.

Podľa Google je aj napriek tomuto problému stále kvôli ochrane proti phishingu bezpečnejšie využívať tento kľúč ako kľúč prestať hneď používať a vypnúť dvojfaktorové overovanie respektíve používať jeho menej bezpečné metódy ako SMS a výzvy na zariadení. Užívateľom ale odporúča kľúč vymeniť.

Dovtedy ho odporúča používať na súkromných miestach s minimálnou vzdialenosťou 30 stôp, teda cca 9.14 metrov, od potenciálnych útočníkov. Či je možné dosah útokov zväčšiť pomocou výkonnejších a citlivejších antén a do akej miery nie je jasné.

Zároveň Google hneď po použití kľúča na prihlásenie odporúča zrušiť jeho párovanie so zariadením. Bluetooth verzia kľúča sa zrejme často používa s mobilnými zariadeniami. V prípade iOS po upgrade na iOS 12.3 kľúč s problémom už nebude vôbec fungovať, v prípade Androidu s budúcimi júnovými aktualizáciami sa kľúču automaticky po prihlásení ku Google účtu zruší párovanie.

Zraniteľný kľúč je možné poznať podľa verzie uvedenej v jeho spodnej časti, zraniteľné sú verzie T1 a T2. Či už Google dodával nejaký čas novšiu opravenú verziu nie je jasné. Bližšie informácie o výmene je možné nájsť na google.com/replacemykey.


      Zdieľaj na Twitteri



Najnovšie články:

V Česku boli bez elektriny milióny ľudí, pretrhnutie 400 kV vedenia spôsobilo ďalšie udalosti
Používanosť Windows 11 sa údajne dotiahla na Windows 10
Česko zasiahol rozsiahly výpadok elektrickej energie
Let’s Encrypt vydala prvý certifikát pre IP adresu
97% nových áut v Nórsku je čistých elektromobilov, dominuje Tesla
O2 mierne zlepšilo pokrytie 5G, už má byť pre 93% ľudí
Časť smartfónov Pixel 6a má problémy s batériou, Google ju bude obmedzovať a vymieňať
Microsoft oznámil ďalšie väčšie prepúšťanie, chce znížiť počet vrstiev manažmentu
SpaceX zničila v poslednom období stovky Starlink satelitov
Tesla stagnuje, opäť vyrobila a dodala menej vozidiel ako na nedávnom vrchole


Diskusia:
                               
 

Prjekak
Odpovedať Známka: 6.9 Hodnotiť:
 

prečo píšeš po srbsky??
Odpovedať Známka: 0.9 Hodnotiť:
 

Stale bezpecnejsie ako ten dvojfaktor nepouzivat. Radovo bezpecnejsie.
Odpovedať Známka: 0.0 Hodnotiť:
 

presne. ten skvely pocit bezpecnosti, ked si PC deravym XEONom autentifikujes goolackym klucikom...
Odpovedať Známka: 6.7 Hodnotiť:
 

Super a? Alternativa ze si ten PC autentifikujes iba menom a heslom je bezpecnejsia? Miesanie sem xeona nedava ziaden vyznam. Nepisal som, ze nemozes mat amd/qualcomm alebo nieco ine.
Odpovedať Hodnotiť:
 

..som vyuceny zamecnik, pustite ma k temu, (mam tu aj vercajkch!

sa to musi vyvrtat, vysrobuvat, zabrusit, odvrtat)
Odpovedať Známka: 1.1 Hodnotiť:
 

neni si náhodou ezermešter??
Odpovedať Známka: 7.5 Hodnotiť:
 

neni je
Odpovedať Známka: 5.0 Hodnotiť:
 

Na každý jeden zámok sú aspoň tri kľúče.
Odpovedať Známka: 10.0 Hodnotiť:
 

Menovite: foreign key, primary key a desina vidlicova (moze byt aj capovana)
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Napriklad kodovaci zamok otvara podla kazdeho dvere vzdy priekazne inam.
Odpovedať Známka: 6.0 Hodnotiť:
 

Dal som ti lajk,aby ti ostala desina ... . Chcel by som ta niekedy spoznat osobne ;)
Odpovedať Hodnotiť:
 

ani titan, ani security..
Odpovedať Známka: 4.0 Hodnotiť:
 

google
a bezpecnost... sukromie.....


?????????????????
Odpovedať Známka: 3.3 Hodnotiť:
 

"odporúča používať na súkromných miestach s minimálnou vzdialenosťou cca 9.14 metrov od potenciálnych útočníkov" - a ja somar som si dom postavil co najblizsie k hranici pozemku co stavebny zakon dovolil.
Odpovedať Hodnotiť:

Pridať komentár