谷歌公布其蓝牙Titan安全密钥中的安全漏洞，提供免费更换

 
 
昨天，谷歌在其蓝牙泰坦安全密钥中披露了一个安全漏洞，该漏洞可能允许近距离的攻击者绕过密钥应该提供的安全性。该公司表示，该错误是由于“泰坦安全密钥的蓝牙配对协议中的配置错误”，即使是有故障的密钥仍能防止网络钓鱼攻击。尽管如此，该公司还是为所有现有用户提供免费更换密钥。
该错误会影响所有Titan蓝牙按键，其售价为50美元，包含标准USB / NFC密钥，背面有“T1”或“T2”。
要利用这个漏洞，攻击者必须处于蓝牙范围内(大约30英尺)，并且当你按下按键上的按钮激活它时，它会迅速采取行动。然后，攻击者可以使用配置错误的协议在您自己的设备连接之前将自己的设备连接到密钥。有了 – 并假设他们已经拥有您的用户名和密码 – 他们可以登录您的帐户。
Google还指出，在您使用密钥之前，它必须与您的设备配对。攻击者还可能通过使用自己的设备并伪装成安全密钥来利用此错误，以便在按下按键时连接到设备。通过这样做，攻击者可以将他们的设备更改为键盘或鼠标，并远程控制您的笔记本电脑。
所有这一切都必须在恰当的时间发生，并且攻击者必须已经知道您的凭据。但是，持久的攻击者可以做到这一点。
谷歌辩称，这个问题不会影响Titan密钥的主要任务，即防止网络钓鱼攻击，并且认为用户应该继续使用密钥，直到他们获得替代。 “使用受影响的密钥更安全，而不是根本没有密钥。安全密钥是目前可用的最强大的网络钓鱼保护措施，“该公司在今天的公告中写道。
该公司还提供了一些缓解潜在安全问题的技巧。
谷歌在安全密钥领域的一些竞争对手，包括Yubico，决定不使用蓝牙，因为潜在的安全问题，并批评谷歌推出蓝牙密钥。 “虽然Yubico之前已开始开发BLE安全密钥，并为BLE U2F标准工作做出了贡献，但我们决定不推出该产品，因为它不符合我们的安全性，可用性和耐用性标准，”Yubico创始人StinaEhrensvärd写道推出了Titan钥匙。