С лeтa прoшлoгo гoдa кoмпaния Google нaчaлa прoдaвaть aппaрaтныe Шлюзы (пo-другoму ― тoкeны) чтобы упрoщeния прoцeссa двуxфaктoрнoй aвтoризaции интересах вxoдa в aккaунт с сeрвисaми кoмпaнии. Тoкeны пoзвoляют опростить жизнь пользователям, которые могут выбросить из головы о ручном вводе безмерно сложных паролей, а вдобавок убрать данные ради идентификации с устройств: компьютеров и смартфонов. Построение получила название Titan Security Key и предлагалась что в виде USB-устройства, таково и с подключением по Bluetooth. Ровно по словам Google, по прошествии времени начала использования токенов среди компании, за трендец время после сего не было ни одного факта взлома аккаунтов сотрудников. Жаль, одна уязвимость в Titan Security Key безвыездно-таки нашлась, только к чести Google симпатия обнаружена в протоколе Bluetooth Low Energy. Шлюзы с подключением по USB остаются полно так же неуязвимы интересах взлома.
Google Bluetooth Titan Security Key
Как бы сообщается на сайте Google, пункт токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Сии токены можно установить по маркировке получи обратной стороне ключа. Благо в номере на обратной стороне принимать комбинации T1 или T2, ведь такой ключ подлежит замене. Шаражка приняла решение на дармовщинку менять такие Шлюзы. В противном случае себестоимость вопроса составила бы предварительно $25 плюс тариф пересылки.
Обнаруженные уязвимости позволяют злоумышленнику вес двумя способами. Закачаешься-первых, если который-то знает логин и слово атакуемого, то может не уложиться в его аккаунт в побудь на месте нажатия на кнопку соединения держи токене. Для сего злоумышленник должен простираться в радиусе действия сношения ключа ― это в круглых цифрах до 10 метров. Иными словами, треншальтер по Bluetooth подключается маловыгодный только к устройству пользователя, да также к устройству злоумышленника, нежели обманывает двухфакторную авторизацию Google.
Google Bluetooth Titan Security Key
Второй способ использования уязвимости в Bluetooth для того несанкционированного использования токена Bluetooth Titan Security Key заключается в книга, что в момент установки соединения ключа и устройства пользователя атакующий может присоседиться к устройству жертвы перед видом Bluetooth-периферии, во, как мышка не то — не то клавиатура. И уже истечении (года) этого хозяйничать получай устройстве жертвы (языко пожелает. Что в первом случае, фигли во втором для того пользователя со скомпрометированным ключом шиш с маслом хорошего нет. Стороннему человеку открывается мочь извлечь данные личного характера, об утечке которых пострадалец даже не узнает. У вам есть токен Bluetooth Titan Security Key? Подключите его и перейдите после этой ссылке, а стервис Google сам определит безубыточный этот ключ сиречь его необходимо сменить.
Источник:
