Аппаратные ключи безопасности Titan от Google оказались небезопасны

Аппаратные ключи безопасности, используемые для авторизации в учетных записях, считаются самым надежным на сегодняшний день средством защиты. Однако и они, как выясняется, не могут служить стопроцентной гарантией от взлома. Корпорация Google, выпускающая аппаратные ключи Titan, сообщила об обнаружении в них уязвимости. Ключи Titan могут подключаться к пользовательским устройствам через USB, посредством ближней бесконтактной связи (NFC), а также через Bluetooth. Именно Bluetooth-ключи и оказались уязвимыми.

Проблема выявлена в механизме сопряжения (образования пары) ключа и пользовательского устройства. Потенциально это открывает перед злоумышленниками как минимум две возможности для атаки. Зная логин и пароль жертвы, атакующий может подключиться к ключу до того, как это сделает сам владелец – и тем обеспечить себе доступ. Во втором сценарии атакующий может присвоить имя ключа безопасности любому Bluetooth-устройству. Оба эти сценария достаточно сложно реализуемы на практике. Во-первых, злоумышленник должен знать учетные данные жертвы и имя ключа, а во-вторых, находиться в момент атаки на расстоянии не более 9 метров от владельца устройства. Как отметил представитель Google Кристиан Бранд, «даже использовать потенциально уязвимый ключ намного безопаснее, чем не использовать никакого ключа вовсе». Тем не менее корпорация Google уже объявила о том, что осуществит отзыв и бесплатную замену всех уязвимых Bluetooth-ключей Titan.

Источник: CNet