【烽巢网】谷歌发布了一份针对其蓝牙巨头安全密钥的安全建议,该建议严重到足以让谷歌免费更换这些密钥。该公司表示,“泰坦安全密钥的蓝牙配对协议存在一个错误配置”,这可能会让攻击者进入你的账户或设备——尽管只有在一些特定的情况下(而且很难实现)。该公司告诉我们,今天的新闻是一个协调的披露——这意味着,在一定程度上,生产受影响产品的公司同时披露了这个问题。飞天公司生产谷歌的泰坦密钥,但也以自己的品牌销售密钥。该公司今天披露了同样的漏洞,并为用户提供了一个替换程序。
谷歌说,微软最初发现了这个漏洞,并向生产受影响产品的公司披露了它。
谷歌长期以来一直引领着双因素认证(2FA)的潮流。尤其值得一提的是,比起简单的认证应用程序(或者更糟糕的短信),它一直在推动它的Titan安全密钥作为一种更安全的方式来启用2FA。谷歌在这一点上并没有错,但是考虑到它的目的是提供更高级别的安全性,对任何潜在的安全漏洞都将进行更高级别的检查。
相关的
用于双因素身份验证的最佳硬件安全密钥
谷歌披露了两个漏洞。首先,如果攻击者在您按下按钮验证登录时处于您密钥的30英尺蓝牙低能量范围内,那么他们可以将自己的设备连接到您的安全密钥。如果他们有你的密码,他们就可以进入你的账户。第二个可能的情况是,当你对一个关键的第一次,攻击者可以“冒充你的影响安全关键和连接到你的设备,”然后做同样的事情在你的设备,其他蓝牙设备,如键盘或鼠标。
因此:攻击者需要意识到这个漏洞,让软件能够利用它,并且需要在正确的时间执行攻击。这是一系列不太可能的事件,但是像泰坦这样的物理安全密钥需要达到更高的标准,才能保持人们的信任。
正如TechCrunch指出的,Yubico的创始人批评谷歌推出BLE密钥,因为她认为它不会像USB或NFC那样安全。谷歌披露的泰坦安全密钥蓝牙漏洞并不影响最近发布的使用Android手机作为物理安全密钥的能力。这种方法不像泰坦和飞天密钥那样依赖蓝牙配对。
如果你的泰坦密钥上有一个“T1”或“T2”,你就有资格换一个。这似乎是显而易见的,但是这些FIDO密钥被设计成不能作为软件升级的安全措施。在您等待它到达时,谷歌建议您继续使用您的安全密钥。它仍然可能比其他2FA方法更安全,而且绝对比完全不使用2FA更安全。
