23 июля, 2019 
adminGWP 
С лeтa прoшлoгo гoдa кoмпaния Google нaчaлa прoдaвaть aппaрaтныe Шлюзы (пo-другoму ― тoкeны) для упрoщeния прoцeссa двуxфaктoрнoй aвтoризaции к вxoдa в aккaунт с сeрвисaми кoмпaнии. Тoкeны пoзвoляют упрoстить содержание пoльзoвaтeлям, кoтoрыe мoгут зaбыть o ручнoм ввoдe чрезвычайно сложных паролей, а также выключить данные для идентификации с устройств: компьютеров и смартфонов. Исполнение получила название Titan Security Key и предлагалась ни дать ни взять в виде USB-устройства, так и с подключением согласно Bluetooth. По словам Google, дальше начала использования токенов (во)внутрь компании, за всё присест после этого не было ни одного факта взлома аккаунтов сотрудников. Жаль, одна уязвимость в Titan Security Key полно-таки нашлась, но к чести Google возлюбленная обнаружена в протоколе Bluetooth Low Energy. Шлюзы с подключением по USB остаются хана так же неуязвимы угоду кому) взлома.
Google Bluetooth Titan Security Key
Якобы сообщается на сайте Google, приём токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Сии токены можно определить в области маркировке на обратной стороне ключа. Буде в номере на обратной стороне (у)потреблять комбинации T1 или T2, то такого склада ключ подлежит замене. Предприятие приняла решение бесплатно переменять такие ключи. В противном случае важность вопроса составила бы давно $25 плюс стоимость пересылки.
Обнаруженные уязвимости позволяют злоумышленнику иметь силу двумя способами. Во-первых, даже если кто-то знает логин и фраза атакуемого, то может зайти в его аккаунт в момент нажатия получи кнопку соединения на токене. Для того этого злоумышленник должен выискиваться в радиусе действия связи ключа ― сие примерно до 10 метров. Иными словами, криница по Bluetooth подключается безграмотный только к устройству пользователя, однако также к устройству злоумышленника, нежели обманывает двухфакторную авторизацию Google.
Google Bluetooth Titan Security Key
Не такой способ использования уязвимости в Bluetooth к несанкционированного использования токена Bluetooth Titan Security Key заключается в фолиант, что в момент установки соединения ключа и устройства пользователя атакующий может отвестись к устройству жертвы под видом Bluetooth-периферии, к примеру сказать, как мышка или клавишная панель. И уже после этого командовать на устройстве жертвы что пожелает. Что в первом случае, по какой причине во втором для пользователя со скомпрометированным ключом от жилетки рукава хорошего нет. Стороннему человеку открывается потенциальность извлечь данные личного характера, об утечке которых сверхжертва даже не узнает. У вы есть токен Bluetooth Titan Security Key? Подключите его и перейдите в области этой ссылке, а сервис Google собственноручно (делать) определит надёжный этот контролька или его необходимо заступить.
Источник:
Опубликовано в рубрике