Защищенные Bluetooth-ключи Google оказались недостаточно защищены
Разработчики Google обнаружили серьезные проблемы безопасности в своих Titan Security Key, которые обеспечивают пользователям возможность двухфакторной аутентификации. Уязвимость позволяла взломщикам перехватить управление устройством и получить доступ к аккаунту жертвы.
Защищенные ключи Google были представлены в 2018 году на конференции Google Cloud Next. Инженеры корпорации разработали их совместно со специалистами FIDO, отраслевой организации, которая продвигает беспарольные системы аутентификации. При авторизации на каком-либо ресурсе владелец Titan Security Key должен подтвердить свое действие — нажать кнопку на ключе или прикоснуться к нему. Эксперты по информационной безопасности сходятся в том, что подобные устройства обеспечивают максимальную на сегодняшний день защиту от фишинговых атак.
В магазине Google пользователям доступны две версии ключа — одна работает с Android-устройствами и поддерживает подключение по USB и NFC, вторая предназначена для iOS и использует Bluetooth. Проблемы безопасности были обнаружены в последней. Как выяснилось, если злоумышленник находится в радиусе 10 метров от пользователя, он может перехватить ключ в момент сопряжения и соединить с ним свое устройство. После этого взломщик сможет авторизоваться от лица жертвы. Для успешной атаки хакеру понадобится сначала узнать логин и пароль Google-аккаунта пользователя.
Преступник также может замаскировать свое собственное устройство под Titan Security Key в момент его первого сопряжения с пользовательским устройством. В этом случае он сможет позже подключаться к нему и проводить несанкционированные операции.
Разработчики подчеркивают, что в реальной жизни эти сценарии крайне маловероятны и даже уязвимые ключи по-прежнему защищают пользователя от фишинга. Тем не менее, владельцам устройств следует оперативно сменить их на безопасные. Другой вариант — использовать ключ только в тех ситуациях, когда поблизости нет подозрительных лиц.
Чтобы узнать, подвержено ли конкретное устройство этой проблеме, пользователю следует проверить номер, который расположен на задней стороне ключа. Уязвимость присутствует в Titan Security Key серий T1 и T2.
