谷歌蓝牙密钥爆安全漏洞其承诺为用户免费更换

2019-05-16 10:36

据外媒报道，近日曝光了谷歌Titan蓝牙安全密钥中的一个漏洞，该漏洞可能会使接近该密钥现实位置的攻击者成功破坏其安全性。

该公司表示，该漏洞是由于“Titan安全密钥的蓝牙配对协议配置错误”造成的，即使是有故障的密钥也能抵御网络钓鱼的攻击。

不过，该公司仍在为所有现有用户提供免费的密钥更换，这个漏洞会影响到所有Titan蓝牙密钥。该密钥售价50美元，包括一个标准USB／NFC，背面印有“T1”或“T2”的标识。

想要利用这个漏洞，攻击者必须在蓝牙范围以内，并且在用户按下按键激活时迅速行动。然后，攻击者可以使用错误配置的协议在用户自己的设备连接之前将自己的设备连接到密钥。这样，他们可以获得用户的账号和密码，继而登录账户。

谷歌还指出，在使用密钥之前，它必须与用户的设备配对。攻击者还可能通过使用自己的设备伪装成安全密钥，以便在用户开始配对时连接到设备。通过这样做，攻击者可以将他们的设备作为键盘或鼠标，远程控制用户的笔记本电脑。

虽然所有这一切动作都必须在恰当的时间行动，并且攻击者必须已经知道用户的证书凭证。但是，一个专业的黑客可以轻松做到这一点。

谷歌辩称，这个问题不会影响Titan密钥的主要任务，即防止网络钓鱼攻击。“使用受影响的密钥比不适用还要更加安全，安全密钥是目前可用的最强大的网络钓鱼保护措施，”该公司在今天的公告中写道。

谷歌在安全密钥领域的一些竞争对手，包括Yubico，由于潜在的安全问题决定不使用蓝牙，并批评谷歌发布了蓝牙密钥。

谷歌蓝牙密钥爆安全漏洞其承诺为用户免费更换

当谷歌发布其Titan密钥时，Yubico创始人Stina Ehrensvard写道：“虽然Yubico之前启动了BLE安全密钥的开发，并为BLE U2F标准的工作做出了贡献，但我们决定不推出该产品，因为它不符合我们的安全、可用性和耐用性标准。”

声明： 本文由入驻维科号的作者撰写，观点仅代表作者本人，不代表OFweek立场。如有侵权或其他问题，请联系举报。

共0条评论，0人参与

登录登录即可访问所有OFweek服务

请输入评论内容...

请输入评论/评论长度6~500个字

暂无评论

图片新闻

行业报告