Sprzętowy klucz Google Titan ma lukę w zabezpieczeniach
Google ostrzega o poważnej luce w zabezpieczeniach sprzętowego klucza Google Titan. Sprawa dotyczy wyłącznie wersji wykorzystującej technologię Bluetooth.
Wprowadzone do użytku kilka lat temu dwuskładnikowe systemy autoryzacji, miały podnieść poziom bezpieczeństwa naszych internetowych usług. Dodatkowy kod wysyłany na smartfona dawał pewność, że haker nie przejmie naszego konta. Gdyby bowiem wszedł w posiadanie hasła, to wspomniany kod uniemożliwi mu logowanie.
Szybko okazało się jednak, że różnego rodzaju malware mogą bardzo łatwo przejąć kontrolę nad telefonem, a tym samym przejąć również kody. Dwuskładnikowe systemy autoryzacji nie są więc tak bezpieczne jak można by sądzić, dlatego pojawiły się klucze sprzętowe. Niewielkie gadżety również są częścią dwuskładnikowego systemu autoryzacji. Ale w odróżnieniu od poprzedniego rozwiązania, klucz generowany jest lokalnie. Haker nie ma więc możliwości jego przejęcia.
Taki klucz oferuje również Google, a nazywa się on Google Titan. Amerykańska firma wprowadziła do sprzedaży dwie wersje tego urządzenia. Pierwsza jest standardowym wariantem USB, przeznaczonym do komputerów osobistych. Druga natomiast korzysta z Bluetooth Low Energy i adresowana jest do smartfonów. Okazuje się jednak, że wariant BLE nie jest do końca bezpieczny.
Google przyznało, że błędy w konfiguracji protokołów parowania ze smartfonem, mogą umożliwić przechwycenie danych logowania. Teoretycznie gdy ktoś posiada nasze hasło i login, może sparować swe urządzenie z naszym kluczem, w momencie gdy go używamy. Jeśli to zrobi, wówczas klucz zapewni mu dostęp do naszego konta. Oczywiście musi wówczas znajdować się bardzo blisko nas, w odległości maksymalnie 9 m.
Jak widać, lukę można wykorzystać tylko w określonych okolicznościach, więc dla przeciętnego użytkownika ryzyko jest bardzo niskie. Google woli jednak dmuchać na zimne i ostrzega przed problemem. Koncern obiecał więc darmową wymianę wadliwych kluczy.
Aby tego dokonać, należy udać się na oficjalną stronę koncernu.
Źródło: Googleblog.com
Technogadżet w liczbach