脆弱性可以使攻击者远程访问设备
谷歌已经回忆了其支持蓝牙的泰坦安全键在被远程攻击者发现可利用它们后。
两因素身份验证(2FA)产品的蓝牙低能(BLE)版本中的错误意味着潜在的攻击者可以与与其配对的键和设备进行通信。
当在移动设备上登录帐户时,提示用户按BLE键上的按钮以激活它。
如果攻击者在30英尺以内,则可能会在用户设备配对之前连接到设备。
演员甚至可以登录设备 - 授予他们已经知道用户凭据。
另一个攻击向量可以将演员伪装自己的设备作为用户的安全键,这将诱使受害者连接到恶意设备而不是合法的Google产品。
然后,它们可以作为蓝牙键盘或鼠标姿势,并控制设备。
此问题仅影响Google安全密钥的BLE版本。受影响的设备在背面写着“ T1”或“ T2”。
Google建议使用用户确定不在潜在攻击者附近的情况下使用钥匙。
该公司表示,用户不应在其设备上登录,因为他们可能会被锁定在其帐户中,直到新的安全密钥到达为止。
受影响的用户正在提供新钥匙,免费。
身份验证巨头
Titan Security Keys于2018年7月推出,是反向播种设备,可为用户提供第二个身份验证的因素 - 类似于Yubico,Nitrokey和其他产品开发的其他产品。
As the await a replacement, Google stressed that continued use of the vulnerable security key is better than using no key at all, claims Google, which has recommended that product owners continue to use the keys to sign in until they’re able to be replaced.
“使用受影响的密钥而不是根本没有键是更安全的。安全密钥是防止网络钓鱼的最强保护,”安全公告写道。
“蓝牙巨头安全密钥的当前用户应在等待替换时继续使用其现有密钥,因为安全密钥为防网钓鱼提供了最强的保护。”
有关的U2F尚未准备好黄金时段
