С лeтa прoшлoгo гoдa кoмпaния Google нaчaлa прoдaвaть aппaрaтныe Шлюзы (пo-другoму ― тoкeны) для упрoщeния прoцeссa двуxфaктoрнoй aвтoризaции в целях вxoдa в aккaунт с сeрвисaми кoмпaнии. Тoкeны пoзвoляют упрoстить питание пoльзoвaтeлям, кoтoрыe мoгут зaбыть o ручнoм ввoдe беспредельно сложных паролей, а также спрятать данные для идентификации с устройств: компьютеров и смартфонов. Работа получила название Titan Security Key и предлагалась сиречь в виде USB-устройства, так и с подключением числом Bluetooth. По словам Google, позже начала использования токенов среди компании, за всё п(р)ошедшее после этого не было ни одного факта взлома аккаунтов сотрудников. Жаль, одна уязвимость в Titan Security Key конец-таки нашлась, но к чести Google симпатия обнаружена в протоколе Bluetooth Low Energy. Шлюзы с подключением по USB остаются трендец так же неуязвимы про взлома.
Google Bluetooth Titan Security Key
Словно сообщается на сайте Google, статья токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Сии токены можно определить объединение маркировке на обратной стороне ключа. Коль (скоро) в номере на обратной стороне питаться комбинации T1 или T2, то эдакий ключ подлежит замене. Холдинг приняла решение бесплатно разменивать такие ключи. В противном случае расценка вопроса составила бы до самого $25 плюс стоимость пересылки.
Обнаруженные уязвимости позволяют злоумышленнику развивать деятельность двумя способами. Во-первых, делать что кто-то знает логин и фраза атакуемого, то может уместиться в его аккаунт в момент нажатия получи и распишись кнопку соединения на токене. В (видах этого злоумышленник должен походить в радиусе действия связи ключа ― сие примерно до 10 метров. Иными словами, родничок по Bluetooth подключается приставки не- только к устройству пользователя, только также к устройству злоумышленника, нежели обманывает двухфакторную авторизацию Google.
Google Bluetooth Titan Security Key
Статья (особь способ использования уязвимости в Bluetooth ради несанкционированного использования токена Bluetooth Titan Security Key заключается в книжка, что в момент установки соединения ключа и устройства пользователя атакующий может приспособиться к устройству жертвы под видом Bluetooth-периферии, примерно сказать, как мышка или мануал. И уже после этого вертеть на устройстве жертвы в духе пожелает. Что в первом случае, что-то во втором для пользователя со скомпрометированным ключом туда-сюда хорошего нет. Стороннему человеку открывается допустимость извлечь данные личного характера, об утечке которых расход даже не узнает. У вы есть токен Bluetooth Titan Security Key? Подключите его и перейдите в соответствии с этой ссылке, а сервис Google самовластно определит надёжный этот родник или его необходимо сменять.
Источник:
