21 июля, 2019 
adminGWP 
С лeтa прoшлoгo гoдa кoмпaния Google нaчaлa прoдaвaть aппaрaтныe Шлюзы (пo-другoму ― тoкeны) для упрoщeния прoцeссa двуxфaктoрнoй aвтoризaции чтобы вxoдa в aккaунт с сeрвисaми кoмпaнии. Тoкeны пoзвoляют упрoстить практика пoльзoвaтeлям, кoтoрыe мoгут зaбыть o ручнoм ввoдe безмерно сложных паролей, а также прибрать данные для идентификации с устройств: компьютеров и смартфонов. Создание получила название Titan Security Key и предлагалась точь в точь в виде USB-устройства, так и с подключением объединение Bluetooth. По словам Google, позже начала использования токенов среди компании, за всё сезон после этого не было ни одного факта взлома аккаунтов сотрудников. Жаль, одна уязвимость в Titan Security Key полно-таки нашлась, но к чести Google симпатия обнаружена в протоколе Bluetooth Low Energy. Шлюзы с подключением по USB остаются безвыездно так же неуязвимы интересах взлома.
Google Bluetooth Titan Security Key
Точно сообщается на сайте Google, верешок токенов Bluetooth Titan Security Key оказались с неправильной конфигурацией Bluetooth Low Energy. Сии токены можно определить после маркировке на обратной стороне ключа. Буде в номере на обратной стороне лупить комбинации T1 или T2, то такой-сякой(-этакий) ключ подлежит замене. Компашечка приняла решение бесплатно переоборудовать. Ant. оставлять такие ключи. В противном случае сила вопроса составила бы предварительно $25 плюс стоимость пересылки.
Обнаруженные уязвимости позволяют злоумышленнику совершать работу двумя способами. Во-первых, коль (скоро) кто-то знает логин и фраза атакуемого, то может уместиться в его аккаунт в момент нажатия получай кнопку соединения на токене. Про этого злоумышленник должен состоять в радиусе действия связи ключа ― сие примерно до 10 метров. Иными словами, криница по Bluetooth подключается приставки не- только к устройству пользователя, хотя также к устройству злоумышленника, нежели обманывает двухфакторную авторизацию Google.
Google Bluetooth Titan Security Key
Другого пошиба способ использования уязвимости в Bluetooth исполнение) несанкционированного использования токена Bluetooth Titan Security Key заключается в книжка, что в момент установки соединения ключа и устройства пользователя атакующий может законнектиться к устройству жертвы под видом Bluetooth-периферии, скажем, как мышка или клавишная панель. И уже после этого вертеть на устройстве жертвы (как) будто пожелает. Что в первом случае, кое-что во втором для пользователя со скомпрометированным ключом сносно хорошего нет. Стороннему человеку открывается оказия извлечь данные личного характера, об утечке которых самопожертвование даже не узнает. У вам есть токен Bluetooth Titan Security Key? Подключите его и перейдите за этой ссылке, а сервис Google собственной персоной определит надёжный этот тумблер или его необходимо променять.
Источник:
Опубликовано в рубрике