Sprzętowy klucz Google Titan jest podatny na klonowanie

Eksperci twierdzą, że sprzętowy klucz Google Titan może nie być już bezpieczny. Ich zdaniem gadżet można sklonować, dzięki zainstalowanemu w nim chipsetowi NXP A700X.

Od kilku lat do ochrony naszych kont w internetowych usługach używamy dwuskładnikowych systemów logowania. To rozwiązanie oprócz standardowego hasła dostarcza nam również jednorazowy kod wysyłany na smartfona, więc powinno zapewniać większy poziom ochrony. Bezpieczeństwo to jest jednak iluzoryczne, gdyż hakerzy mają coraz doskonalsze metody przejmowania kontroli nad smartfonami, a tym samym mogą łatwo przechwycić taki kod.

Coraz popularniejsze stają się więc sprzętowe klucze, które w teorii są technologią nie do złamania. Dodatkowy kod autoryzujący generuje bowiem urządzenie będące przez cały czas w naszych rękach, do którego nie ma dostępu poprzez sieć. Innymi słowy haker nie będzie w stanie go wykraść, więc nie przejmie naszego konta. Tak przynajmniej sądzono dotychczas, gdyż najnowsze ustalenia sugerują iż sprzęt wcale nie zapewnia tak dużego poziomu ochrony.

Eksperci ustalili że sprzętowy klucz Google Titan jest podatny na klonowanie. To sprawka chipsetu NXP A700X, używanego w wielu popularnych kluczach autoryzujących, który znajduje się także w produkcie Google. Odkryto bowiem, że poprzez atak kanału bocznego można go sklonować i wydobyć z niego dane. Na ich podstawie haker może następnie stworzyć klon klucza.

Oczywiście trzeba mieć świadomość tego, że taki atak nie jest łatwy, ani też tani. Przede wszystkim wymaga bowiem fizycznego dostępu do klucza, wielu godzin pracy oraz kosztownego sprzętu do inżynierii wstecznej. Innymi słowy, nie wykona go każdy, więc teoretycznie zwykli użytkownicy są bezpieczni. Jeśli jednak posiadamy laptopa i konto zawierające cenne informacje, to dla hakerów taki atak może być bardzo opłacalny.

Google Titan

Źródło

You may also like...