微软发现谷歌TITAN泰坦安全密钥存在漏洞 蓝牙低功耗版本必须更换
谷歌去年推出泰坦实体安全密钥用于部分账户的多因素认证,实体安全密钥的好处在于不怕密码再遭到泄露。
同时泰坦实体安全密钥在谷歌内部已经被广泛使用,谷歌多数员工都已配备该密钥用于提高自己账户安全性。
不过日前微软发现泰坦安全密钥的蓝牙低功耗版存在严重漏洞,攻击者可近距离接触绕过用户提前完成验证。
由于泰坦安全密钥使用的蓝牙协议配置存在错误,这使得攻击者可以在靠近用户时直接与泰坦安全密钥配对。
当用户尝试在自己的计算机上进行账号登录时,泰坦安全密钥会要求用户按压密钥上的物理按钮将密钥激活。
如果攻击者可计算用户操作的话那么可以在用户按压时登录其账户,前提是攻击者还需要提前获得账号密码。
还有种情况是用户使用密钥时必须连接自己的设备,这时候攻击者可以将自己的设备伪装成密钥让用户连接。
之后攻击者即可借助蓝牙连接操作用户的计算机,这可能会给用户的设备安全与账号安全造成潜在的影响等。
泰坦安全密钥的用途是保护用户免受远程攻击者的网络钓鱼攻击,安全密钥仍然是防范钓鱼的强大保护方式。
使用存在安全问题的密钥依然还是很安全,因为攻击者必须能够精确计算用户的操作并近距离接触才可攻击。
同时用户不应该关闭谷歌或其他账户的安全密钥验证,在更换新安全密钥前用户可以继续使用泰坦安全密钥。
如果你使用的泰坦安全密钥为蓝牙低功耗版本,请检查密钥背面是否有T1/T2 字样,如果有则说明受到影响。
对于受影响的泰坦安全密钥谷歌将提供免费更换政策,用户可前往谷歌帮助页面检索免费更换需进行的步骤。
如果用户使用的 iOS 12.2 及此前版本, 谷歌建议使用安全密钥时在私人场所,以免公共场所有潜在攻击者。
如果用户使用的 iOS 12.3 版则此密钥不再有效, 用户将无法使用受影响的密钥登录谷歌或其他绑定的账户。
在安卓和其他设备上用户只需要在私人场所使用即可,同时建议登录账号后立即取消蓝牙配对防止钓鱼设备。
此外用户可以继续使用USB或NFC版的泰坦安全密钥,上述泰坦安全密钥不受此次的蓝牙配对协议问题影响。