Notícias de dispositivos móveis, gadgets, aplicativos Android

O Google está substituindo as Bluetooth Titan Security Keys por causa de uma vulnerabilidade

O Google está substituindo as Bluetooth Titan Security Keys por causa de uma vulnerabilidade 1

O Google emitiu um aviso de segurança para suas chaves de segurança Bluetooth Titan, suficientemente sério para substituí-las gratuitamente. A empresa diz que há uma “configuração incorreta nos protocolos de emparelhamento Bluetooth do Titan Security Keys” que poderia potencialmente permitir que um invasor acesse sua conta ou dispositivo – embora apenas em algumas circunstâncias específicas (e especificamente difíceis de executar) .

A empresa nos diz que as notícias de hoje são uma divulgação coordenada – o que significa em parte que as empresas que fabricam produtos afetados estão divulgando o problema ao mesmo tempo. A Feitian, que é a empresa que fabrica o Titan Key do Google, mas também vende chaves com sua própria marca, divulgou a mesma vulnerabilidade hoje e está oferecendo um programa de substituição para seus usuários.

A Microsoft descobriu a vulnerabilidade originalmente e a divulgou às empresas que fabricam os produtos afetados, diz o Google.

O Google lidera a cobrança pela autenticação de dois fatores (2FA) há muito tempo. Em particular, ele pressionou suas Titan Security Keys como uma maneira mais segura de habilitar o 2FA do que simplesmente um aplicativo de autenticação (ou, pior ainda, SMS). O Google não está errado quanto a isso, mas, como o objetivo é fornecer um nível mais alto de segurança, haverá um nível mais alto de escrutínio sobre possíveis vulnerabilidades de segurança.

Existem duas vulnerabilidades que o Google está divulgando. Primeiro, se um invasor estiver dentro do alcance de 30 pés da Bluetooth Low Energy da sua chave quando você pressionar o botão para autenticar um login, ele poderá conectar o dispositivo à sua chave de segurança. Se eles tiverem sua senha, poderão obter acesso à sua conta. O segundo caso possível é que, quando você emparelha uma chave pela primeira vez, um invasor pode “mascarar como sua chave de segurança afetada e se conectar ao seu dispositivo” e, em seguida, fazer as mesmas coisas que outros dispositivos Bluetooth, como agir como um teclado ou mouse.

Nós recomendamos:  É fácil instalar aplicativos Android em um Chromebook

Portanto: o invasor precisa estar ciente dessa vulnerabilidade, ter um software capaz de explorá-la e executar o ataque exatamente no momento certo. É uma série de eventos improváveis, mas, novamente, chaves de segurança física como o Titan precisam atender a um padrão mais alto para manter a confiança das pessoas.

O Google está substituindo as Bluetooth Titan Security Keys por causa de uma vulnerabilidade 2

Se sua chave indicar T1 ou T2 neste local, o Google a substituirá gratuitamente
Google

Como TechCrunch ressalta, a fundadora de Yubico criticou o Google por lançar uma chave BLE porque ela acreditava que não seria tão seguro quanto USB ou NFC. A divulgação do Google sobre a vulnerabilidade do Titan Security Key Bluetooth não não afetam a capacidade lançada recentemente de usar seu telefone Android como uma chave de segurança física. Esse método não depende do emparelhamento Bluetooth da mesma maneira que as teclas Titan e Feitian.

Se você tem um “T1” ou “T2” em sua Titan Key, você está qualificado para uma substituição. Pode parecer óbvio, mas essas chaves FIDO foram projetadas para não serem atualizáveis ​​por software como medida de segurança. Enquanto espera a chegada, o Google recomenda que você continue usando sua chave de segurança. Ainda é provável que seja mais seguro do que outros métodos 2FA – e absolutamente mais seguro do que não usar o 2FA.