czwartek 30 maja 2019, Poradnik bezpieczeństwa

Luka w kluczach bezpieczeństwa Google

Lost24

Microsoft wykrył lukę w zabezpieczeniach kluczy Titan Security Key w wersji BLE – Bluetooth Low Energy. W związku z dużym ryzykiem ataku, Google zaoferowało darmową wymianę sprzętu oznaczonego jako T1 lub T2.


Luka wynika z niewłaściwej konfiguracji protokołów parowania Bleutooth, w wyniku czego osoba znajdująca się w pobliżu potencjalnej ofiary może łatwo uzyskać dostęp do klucza lub urządzenia, z którym jest sparowany.


Odległość jaka umożliwia atak to nieco ponad 9 metrów. Atak może nastąpić w dwojaki sposób:
- podczas logowania na konto, gdyż w tym momencie proszony jest o naciśnięcie przycisku na kluczu bezpieczeństwa BLE, w celu jego aktywacji. W tym momencie osoba trzecia może połączyć swoje urządzenie z kluczem bezpieczeństwa, zanim ten połączy się z docelowym urządzeniem właściciela.
- w momencie sparowania klucza z urządzeniem. Atakujący będzie próbować zmienić swoje urządzenie, aby było rozpoznane jako klawiatura lub mysz Bleutooth, dziękii czemu będzie mógł podjąć dowolne działania na urządzeniu ofiary.