O Google emitiu um aviso de segurança para suas chaves de segurança Bluetooth Titan, suficientemente sério para substituí-las gratuitamente. A empresa diz que há uma “configuração incorreta nos protocolos de emparelhamento Bluetooth do Titan Security Keys” que poderia potencialmente permitir que um invasor acesse sua conta ou dispositivo – embora apenas em algumas circunstâncias específicas (e especificamente difíceis de executar) .
A empresa nos diz que as notícias de hoje são uma divulgação coordenada – o que significa em parte que as empresas que fabricam produtos afetados estão divulgando o problema ao mesmo tempo. A Feitian, que é a empresa que fabrica o Titan Key do Google, mas também vende chaves com sua própria marca, divulgou a mesma vulnerabilidade hoje e está oferecendo um programa de substituição para seus usuários.
A Microsoft descobriu a vulnerabilidade originalmente e a divulgou às empresas que fabricam os produtos afetados, diz o Google.
O Google lidera a cobrança pela autenticação de dois fatores (2FA) há muito tempo. Em particular, ele pressionou suas Titan Security Keys como uma maneira mais segura de habilitar o 2FA do que simplesmente um aplicativo de autenticação (ou, pior ainda, SMS). O Google não está errado quanto a isso, mas, como o objetivo é fornecer um nível mais alto de segurança, haverá um nível mais alto de escrutínio sobre possíveis vulnerabilidades de segurança.
Existem duas vulnerabilidades que o Google está divulgando. Primeiro, se um invasor estiver dentro do alcance de 30 pés da Bluetooth Low Energy da sua chave quando você pressionar o botão para autenticar um login, ele poderá conectar o dispositivo à sua chave de segurança. Se eles tiverem sua senha, poderão obter acesso à sua conta. O segundo caso possível é que, quando você emparelha uma chave pela primeira vez, um invasor pode “mascarar como sua chave de segurança afetada e se conectar ao seu dispositivo” e, em seguida, fazer as mesmas coisas que outros dispositivos Bluetooth, como agir como um teclado ou mouse.
Portanto: o invasor precisa estar ciente dessa vulnerabilidade, ter um software capaz de explorá-la e executar o ataque exatamente no momento certo. É uma série de eventos improváveis, mas, novamente, chaves de segurança física como o Titan precisam atender a um padrão mais alto para manter a confiança das pessoas.
Como TechCrunch ressalta, a fundadora de Yubico criticou o Google por lançar uma chave BLE porque ela acreditava que não seria tão seguro quanto USB ou NFC. A divulgação do Google sobre a vulnerabilidade do Titan Security Key Bluetooth não não afetam a capacidade lançada recentemente de usar seu telefone Android como uma chave de segurança física. Esse método não depende do emparelhamento Bluetooth da mesma maneira que as teclas Titan e Feitian.
Se você tem um “T1” ou “T2” em sua Titan Key, você está qualificado para uma substituição. Pode parecer óbvio, mas essas chaves FIDO foram projetadas para não serem atualizáveis por software como medida de segurança. Enquanto espera a chegada, o Google recomenda que você continue usando sua chave de segurança. Ainda é provável que seja mais seguro do que outros métodos 2FA – e absolutamente mais seguro do que não usar o 2FA.