Uma equipe de pesquisadores de segurança da Microsoft descobriu uma vulnerabilidade potencialmente séria na versão suportada por Bluetooth das Titan Security Keys do Google, que não podia ser corrigida com uma atualização de software.
No entanto, os usuários não precisam se preocupar, pois o Google anunciou a oferta de um substituto gratuito para os dongles do Titan Security Key afetados.
Em um comunicado de segurança publicado na quarta-feira, o Google afirmou que uma "configuração incorreta nos protocolos de emparelhamento Titan Security Keys Bluetooth" pode permitir que um invasor que esteja fisicamente próximo à sua chave de segurança se comunique com ele ou com o dispositivo. está emparelhado. Lançado pelo Google em agosto do ano passado, o Titan Security Key
é um pequeno dispositivo USB de baixo custo que oferece autenticação de dois fatores baseada em hardware (2FA) para contas on-line com o mais alto nível de proteção contra ataques de phishing.
A Titan Security Key, que é vendida por US $ 50 na Google Store, inclui duas chaves - uma chave de segurança USB-A com NFC e uma chave Bluetooth / NFC equipada com micro USB com bateria - para uma autenticação segura de dois fatores.
Segundo o Google, a vulnerabilidade afeta apenas a versão BLE do Titan Security Keys que tem um sinal "T1" ou "T2" no verso, e outras chaves de segurança não Bluetooth, USB ou NFC, são seguras para usar. .
Veja os cenários de ataque descritos na descrição de uma marca de blog da Christiaan Brand no Google Cloud Product Manager :
No entanto, os usuários não precisam se preocupar, pois o Google anunciou a oferta de um substituto gratuito para os dongles do Titan Security Key afetados.
Em um comunicado de segurança publicado na quarta-feira, o Google afirmou que uma "configuração incorreta nos protocolos de emparelhamento Titan Security Keys Bluetooth" pode permitir que um invasor que esteja fisicamente próximo à sua chave de segurança se comunique com ele ou com o dispositivo. está emparelhado. Lançado pelo Google em agosto do ano passado, o Titan Security Key
é um pequeno dispositivo USB de baixo custo que oferece autenticação de dois fatores baseada em hardware (2FA) para contas on-line com o mais alto nível de proteção contra ataques de phishing.
A Titan Security Key, que é vendida por US $ 50 na Google Store, inclui duas chaves - uma chave de segurança USB-A com NFC e uma chave Bluetooth / NFC equipada com micro USB com bateria - para uma autenticação segura de dois fatores.
Segundo o Google, a vulnerabilidade afeta apenas a versão BLE do Titan Security Keys que tem um sinal "T1" ou "T2" no verso, e outras chaves de segurança não Bluetooth, USB ou NFC, são seguras para usar. .
Veja os cenários de ataque descritos na descrição de uma marca de blog da Christiaan Brand no Google Cloud Product Manager :
"Quando você está tentando fazer login em uma conta no seu dispositivo, normalmente é solicitado que você pressione o botão na sua chave de segurança BLE para ativá-lo. Um invasor em proximidade física próxima nesse momento pode conectar seu próprio dispositivo a sua chave de segurança afetada antes que seu próprio dispositivo se conecte. Nesse conjunto de circunstâncias, o invasor poderia entrar em sua conta usando seu próprio dispositivo se o invasor já obtivesse seu nome de usuário e senha e conseguisse esses eventos com exatidão. "
"Antes de usar sua chave de segurança, ela deve ser emparelhada com o dispositivo. Depois de emparelhado, um invasor próximo a você pode usar o dispositivo para se disfarçar como sua chave de segurança afetada e se conectar ao dispositivo no momento em que for solicitado para pressionar o botão na sua chave. Depois disso, eles poderiam tentar alterar o dispositivo para aparecer como um teclado ou mouse Bluetooth e possivelmente executar ações no dispositivo. "
A Microsoft descobriu a vulnerabilidade e a divulgou para o Google, bem como para a Feitian, empresa que fabrica o Titan Keys para o Google e também vende o mesmo produto (ePass) com sua própria marca.
Feitian também fez uma divulgação coordenada sobre essa vulnerabilidade no mesmo dia que o Google e está oferecendo um programa de substituição gratuita para seus usuários.
Como o problema afeta apenas o protocolo de emparelhamento de baixa energia do Bluetooth e não a segurança criptográfica da própria chave, o Google recomenda que os usuários afetados continuem usando as chaves existentes até obter uma substituição.
O Google também diz que a chave de segurança Bluetooth ainda é mais segura do que desativá-la completamente ou confiar em outros métodos de autenticação de dois fatores, como SMS ou telefonemas.
No entanto, seria melhor tomar algumas medidas extras ao usar as chaves de segurança, como usá-las somente em um lugar particular e imediatamente desemparelhá-las.
