neprihlásený Štvrtok, 16. júla 2020, dnes má meniny Drahomír
Google má zraniteľnosť vo fyzickom bezpečnostnom kľúči, vymieňa ho

Značky: Googlebezpečnosť

DSL.sk, 16.5.2019


V bezdrôtovej verzii fyzického bezpečnostného kľúča Titan Security Key od spoločnosti Google sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útoky v dosahu Bluetooth signálu a spoločnosť tak kľúče bezplatne vymieňa.

Ide o ďalší z radu významnejších bezpečnostných problémov v rozličných produktoch, ktoré boli ohlásené tento týždeň.

Titan Security Key je paradoxne kľúčom, ktorý má zabezpečiť vyššiu bezpečnosť užívateľov. Ide o kľúč štandardu FIDO a slúži na zabezpečenie bezpečnejšieho a zároveň pohodlnejšieho dvojfaktorového overovania napríklad oproti SMS kódom. Prvým faktorom je heslo užívateľa, druhým vlastnenie s účtom spárovaného fyzického kľúča a stlačenie tlačidla na ňom po výzve pri prihlásení.

Google ho začal ponúkať v dvoch verziách v minulom roku zatiaľ zrejme len v USA, obe disponujú podporou fungovania cez USB a NFC a bezdrôtová aj cez Bluetooth. Problém sa nachádza práve v bezdrôtovej verzii, konkrétne ide podľa stručného opisu spoločnosti o zlú konfiguráciu v protokoloch Bluetooth párovania.

Zraniteľnosť sa dá podľa spoločnosti útočníkom v dosahu signálu využiť dvomi spôsobmi. Keď sa užívateľ pomocou kľúča chce prihlásiť do svojho účtu na jeho počítačovom zariadení a má stlačiť tlačidlo na kľúči, ku kľúču sa v tom momente môže pripojiť zariadenie útočníka skôr ako zariadenie užívateľa a útočník sa môže prihlásiť do účtu užívateľa ak zároveň pozná jeho prihlasovacie údaje.


Google Titan Security Key, vľavo bezdrôtová Bluetooth verzia, kliknite pre zväčšenie (foto: Google)



Okrem toho sa zariadenie útočníka môže tváriť ako spárovaný kľúč voči počítačovému zariadeniu užívateľa, s ktorým kľúč užívateľ využíva. Útočník sa môže úspešne k zariadeniu pripojiť v momente, keď má užívateľ stlačiť tlačidlo na kľúči. Zariadenie útočníka sa potom môže pokúsiť zmeniť typ zariadenia napríklad na Bluetooth klávesnicu alebo myš a uskutočňovať akcie na zariadení užívateľa.

Podľa Google je aj napriek tomuto problému stále kvôli ochrane proti phishingu bezpečnejšie využívať tento kľúč ako kľúč prestať hneď používať a vypnúť dvojfaktorové overovanie respektíve používať jeho menej bezpečné metódy ako SMS a výzvy na zariadení. Užívateľom ale odporúča kľúč vymeniť.

Dovtedy ho odporúča používať na súkromných miestach s minimálnou vzdialenosťou 30 stôp, teda cca 9.14 metrov, od potenciálnych útočníkov. Či je možné dosah útokov zväčšiť pomocou výkonnejších a citlivejších antén a do akej miery nie je jasné.

Zároveň Google hneď po použití kľúča na prihlásenie odporúča zrušiť jeho párovanie so zariadením. Bluetooth verzia kľúča sa zrejme často používa s mobilnými zariadeniami. V prípade iOS po upgrade na iOS 12.3 kľúč s problémom už nebude vôbec fungovať, v prípade Androidu s budúcimi júnovými aktualizáciami sa kľúču automaticky po prihlásení ku Google účtu zruší párovanie.

Zraniteľný kľúč je možné poznať podľa verzie uvedenej v jeho spodnej časti, zraniteľné sú verzie T1 a T2. Či už Google dodával nejaký čas novšiu opravenú verziu nie je jasné. Bližšie informácie o výmene je možné nájsť na google.com/replacemykey.


      Zdieľaj na Twitteri



Najnovšie články:

Fedora opakovane schvaľovala Btrfs za štandardný súborový systém
Internet nikdy nepoužilo 12% Slovákov
Štart na Mars tento týždeň nakoniec nebude, budúci majú byť dva
Novinka Windows 10 má prehliadačom znížiť spotrebu pamäte, Chrome ju vypína kvôli záťaži CPU
Predstavené 125-Wattové nabíjanie smartfónov a malé výkonné nabíjačky
Vydaný štandard pre DDR5 pamäť, umožní vyššiu kapacitu a rýchlosť
SpaceX odložila ďalší štart, opäť nie pre počasie
Microsoft opravil 123 zraniteľností, najvážnejšia umožňuje červa proti Windows Server
AMD uviedla Threadripper Pro pre najvýkonnejšie pracovné stanice
Menší operátori žiadajú zopakovať výber šéfa telekomunikačného úradu


Diskusia:
                               
 

Prjekak
Odpovedať Známka: 6.9 Hodnotiť:
 

prečo píšeš po srbsky??
Odpovedať Známka: 0.9 Hodnotiť:
 

Stale bezpecnejsie ako ten dvojfaktor nepouzivat. Radovo bezpecnejsie.
Odpovedať Známka: 0.0 Hodnotiť:
 

presne. ten skvely pocit bezpecnosti, ked si PC deravym XEONom autentifikujes goolackym klucikom...
Odpovedať Známka: 6.7 Hodnotiť:
 

Super a? Alternativa ze si ten PC autentifikujes iba menom a heslom je bezpecnejsia? Miesanie sem xeona nedava ziaden vyznam. Nepisal som, ze nemozes mat amd/qualcomm alebo nieco ine.
Odpovedať Hodnotiť:
 

..som vyuceny zamecnik, pustite ma k temu, (mam tu aj vercajkch!

sa to musi vyvrtat, vysrobuvat, zabrusit, odvrtat)
Odpovedať Známka: 1.1 Hodnotiť:
 

neni si náhodou ezermešter??
Odpovedať Známka: 7.5 Hodnotiť:
 

neni je
Odpovedať Známka: 5.0 Hodnotiť:
 

Na každý jeden zámok sú aspoň tri kľúče.
Odpovedať Známka: 10.0 Hodnotiť:
 

Menovite: foreign key, primary key a desina vidlicova (moze byt aj capovana)
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Napriklad kodovaci zamok otvara podla kazdeho dvere vzdy priekazne inam.
Odpovedať Známka: 6.0 Hodnotiť:
 

Dal som ti lajk,aby ti ostala desina ... . Chcel by som ta niekedy spoznat osobne ;)
Odpovedať Hodnotiť:
 

ani titan, ani security..
Odpovedať Známka: 4.0 Hodnotiť:
 

google
a bezpecnost... sukromie.....


?????????????????
Odpovedať Známka: 3.3 Hodnotiť:
 

"odporúča používať na súkromných miestach s minimálnou vzdialenosťou cca 9.14 metrov od potenciálnych útočníkov" - a ja somar som si dom postavil co najblizsie k hranici pozemku co stavebny zakon dovolil.
Odpovedať Hodnotiť:

Pridať komentár