火星科技网您的位置:首页 >家电科技 >

谷歌揭示了泰坦安全密钥中的蓝牙漏洞

导读 去年8月谷歌在Cloud Next 2018推出Titan安全密钥后,山景城公司将捆绑的加密狗作为对数据妥协的铁定保护。具有讽刺意味的是,现在看来它

去年8月谷歌在Cloud Next 2018推出Titan安全密钥后,山景城公司将捆绑的加密狗作为对数据妥协的铁定保护。具有讽刺意味的是,现在看来它们中至少有一个成为攻击的推动者,而不是威慑力量。

谷歌今天详细介绍了泰坦安全密钥的蓝牙低功耗(BLE)版本中的一个漏洞(由微软发现),该漏洞可能允许附近的人(大约30英尺内)与密钥或与其配对的设备进行通信。帐户登录和设置过程中有一个狭窄的机会窗口。

“当您尝试在设备上登录帐户时,通常会要求您按下BLE安全密钥上的按钮以激活它,”Google解释说。“攻击者......可能会在您的设备连接[和]登录您的帐户之前将其设备连接到受影响的安全密钥...如果[他们]获得了您的用户名和密码。[此外,]在使用安全密钥之前,必须将其与您的设备配对。一旦配对,攻击者......可以使用他们的设备伪装成受影响的安全密钥,并在您被要求按下密钥上的按钮时连接到您的设备。“

对于外行人来说,50美元的Titan Security Key是Google对FIDO(快速身份在线)密钥的一种控制,这是一种用于物理登录身份验证的设备。该公司去年强调,它不打算与市场上的其他FIDO键竞争,而是针对“信任谷歌的客户”。

谷歌支持蓝牙的决定并非没有争议。在Titan Security Key发布公告后,Yubico首席执行官Stina Ehrensvard表示,它“不提供NFC和USB的安全保障级别”,并且其电池和配对要求提供“糟糕的用户体验”。

Google指出,上述漏洞不会影响USB或NFC Titan安全密钥,也不会影响安全密钥的“主要目的”。实际上,它建议使用受影响的密钥,而不是完全关闭基于安全密钥的两步验证。“使用受影响的密钥更安全,而不是根本没有密钥,”谷歌说。“安全密钥是目前可用的最强大的网络钓鱼保护措施。”

不过,它还通过Google Play商店提供免费更换密钥。(受影响的密钥在背面刻有“T1”或“T2”。)与此同时,谷歌建议Android和iOS(版本12.2)用户在“私人场所”中激活受影响的安全密钥。潜在的攻击者并在登录后立即取消配对。使用即将到来的2019年6月安全补丁级别(SPL)更新的Android设备将自动取消受影响的蓝牙设备,并且iOS 12.3上受影响的密钥将不再有效。

制造谷歌Titan Security Key的公司飞天表示,其蓝牙键受到同样的漏洞影响,并且正在向其客户提供类似的替代产品。

标签:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。