Google má zraniteľnosť vo fyzickom bezpečnostnom kľúči, vymieňa ho

Značky: Googlebezpečnosť

DSL.sk, 16.5.2019

V bezdrôtovej verzii fyzického bezpečnostného kľúča Titan Security Key od spoločnosti Google sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útoky v dosahu Bluetooth signálu a spoločnosť tak kľúče bezplatne vymieňa.

Ide o ďalší z radu významnejších bezpečnostných problémov v rozličných produktoch, ktoré boli ohlásené tento týždeň.

Titan Security Key je paradoxne kľúčom, ktorý má zabezpečiť vyššiu bezpečnosť užívateľov. Ide o kľúč štandardu FIDO a slúži na zabezpečenie bezpečnejšieho a zároveň pohodlnejšieho dvojfaktorového overovania napríklad oproti SMS kódom. Prvým faktorom je heslo užívateľa, druhým vlastnenie s účtom spárovaného fyzického kľúča a stlačenie tlačidla na ňom po výzve pri prihlásení.

Google ho začal ponúkať v dvoch verziách v minulom roku zatiaľ zrejme len v USA, obe disponujú podporou fungovania cez USB a NFC a bezdrôtová aj cez Bluetooth. Problém sa nachádza práve v bezdrôtovej verzii, konkrétne ide podľa stručného opisu spoločnosti o zlú konfiguráciu v protokoloch Bluetooth párovania.

Zraniteľnosť sa dá podľa spoločnosti útočníkom v dosahu signálu využiť dvomi spôsobmi. Keď sa užívateľ pomocou kľúča chce prihlásiť do svojho účtu na jeho počítačovom zariadení a má stlačiť tlačidlo na kľúči, ku kľúču sa v tom momente môže pripojiť zariadenie útočníka skôr ako zariadenie užívateľa a útočník sa môže prihlásiť do účtu užívateľa ak zároveň pozná jeho prihlasovacie údaje.

Google Titan Security Key, vľavo bezdrôtová Bluetooth verzia, kliknite pre zväčšenie (foto: Google)

Okrem toho sa zariadenie útočníka môže tváriť ako spárovaný kľúč voči počítačovému zariadeniu užívateľa, s ktorým kľúč užívateľ využíva. Útočník sa môže úspešne k zariadeniu pripojiť v momente, keď má užívateľ stlačiť tlačidlo na kľúči. Zariadenie útočníka sa potom môže pokúsiť zmeniť typ zariadenia napríklad na Bluetooth klávesnicu alebo myš a uskutočňovať akcie na zariadení užívateľa.

Podľa Google je aj napriek tomuto problému stále kvôli ochrane proti phishingu bezpečnejšie využívať tento kľúč ako kľúč prestať hneď používať a vypnúť dvojfaktorové overovanie respektíve používať jeho menej bezpečné metódy ako SMS a výzvy na zariadení. Užívateľom ale odporúča kľúč vymeniť.

Dovtedy ho odporúča používať na súkromných miestach s minimálnou vzdialenosťou 30 stôp, teda cca 9.14 metrov, od potenciálnych útočníkov. Či je možné dosah útokov zväčšiť pomocou výkonnejších a citlivejších antén a do akej miery nie je jasné.

Zároveň Google hneď po použití kľúča na prihlásenie odporúča zrušiť jeho párovanie so zariadením. Bluetooth verzia kľúča sa zrejme často používa s mobilnými zariadeniami. V prípade iOS po upgrade na iOS 12.3 kľúč s problémom už nebude vôbec fungovať, v prípade Androidu s budúcimi júnovými aktualizáciami sa kľúču automaticky po prihlásení ku Google účtu zruší párovanie.

Zraniteľný kľúč je možné poznať podľa verzie uvedenej v jeho spodnej časti, zraniteľné sú verzie T1 a T2. Či už Google dodával nejaký čas novšiu opravenú verziu nie je jasné. Bližšie informácie o výmene je možné nájsť na google.com/replacemykey.




Najnovšie články:



Diskusia:

Dvojfaktorová autentifikácia je nafigu keď jeden faktor zlyhá Od: /dev/null | Pridané: 16.5.2019 13:22 Prjekak Odpovedať Známka: 6.9 Hodnotiť:

Re: Dvojfaktorová autentifikácia je nafigu keď jeden faktor zlyhá Od: ffdf | Pridané: 16.5.2019 14:09 prečo píšeš po srbsky?? Odpovedať Známka: 0.9 Hodnotiť:

Bezpecnejsie Od: Asdf3 | Pridané: 16.5.2019 13:54 Stale bezpecnejsie ako ten dvojfaktor nepouzivat. Radovo bezpecnejsie. Odpovedať Známka: 0.0 Hodnotiť:

Re: Bezpecnejsie Od: asfedsfa | Pridané: 16.5.2019 15:05 presne. ten skvely pocit bezpecnosti, ked si PC deravym XEONom autentifikujes goolackym klucikom... Odpovedať Známka: 6.7 Hodnotiť:

Re: Bezpecnejsie Od: Asdf3 | Pridané: 18.5.2019 7:17 Super a? Alternativa ze si ten PC autentifikujes iba menom a heslom je bezpecnejsia? Miesanie sem xeona nedava ziaden vyznam. Nepisal som, ze nemozes mat amd/qualcomm alebo nieco ine. Odpovedať Hodnotiť:

ic sa tam kuknut, hen vymienaju zamek, aj s vlozkuu! Od: kalten ~meister | Pridané: 16.5.2019 14:02 ..som vyuceny zamecnik, pustite ma k temu, (mam tu aj vercajkch! sa to musi vyvrtat, vysrobuvat, zabrusit, odvrtat) Odpovedať Známka: 1.1 Hodnotiť:

Re: ic sa tam kuknut, hen vymienaju zamek, aj s vlozkuu! Od: ffdf | Pridané: 16.5.2019 14:09 neni si náhodou ezermešter?? Odpovedať Známka: 7.5 Hodnotiť:

Re: ic sa tam kuknut, hen vymienaju zamek, aj s vlozkuu! Od: /dev/null | Pridané: 16.5.2019 14:39 neni je Odpovedať Známka: 5.0 Hodnotiť:

Vrzg vrzg Od: Dvojnohý kôň alzák | Pridané: 16.5.2019 14:09 Na každý jeden zámok sú aspoň tri kľúče. Odpovedať Známka: 10.0 Hodnotiť:

Re: Vrzg vrzg Od reg.: yanick | Pridané: 16.5.2019 19:38 Menovite: foreign key, primary key a desina vidlicova (moze byt aj capovana) Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX .XXX | Pridané: 17.5.2019 7:09 Presne tak. Napriklad kodovaci zamok otvara podla kazdeho dvere vzdy priekazne inam. Odpovedať Známka: 5.0 Hodnotiť:

Re: ultraradikalny optimizmus Od: Ťuťu Muťu | Pridané: 18.5.2019 8:21 Dal som ti lajk,aby ti ostala desina ... . Chcel by som ta niekedy spoznat osobne ;) Odpovedať Hodnotiť:

gogel Od: grepfruit | Pridané: 16.5.2019 18:44 ani titan, ani security.. Odpovedať Známka: 4.0 Hodnotiť:

fsfsfsfsd Od: fdsfs | Pridané: 17.5.2019 1:15 google a bezpecnost... sukromie..... ????????????????? Odpovedať Známka: 3.3 Hodnotiť:

vzdialenost Od: suxi | Pridané: 20.5.2019 6:56 "odporúča používať na súkromných miestach s minimálnou vzdialenosťou cca 9.14 metrov od potenciálnych útočníkov" - a ja somar som si dom postavil co najblizsie k hranici pozemku co stavebny zakon dovolil. Odpovedať Hodnotiť:

Pridať komentár