Se você usa uma das Titan Security Keys do Google para autenticação de dois fatores, provavelmente acredita que sua conta está tão segura quanto possível. Em seu site, na verdade, o Google promete que as chaves de segurança do Titan "têm o mesmo nível de segurança usado internamente no Google" e "impede que alguém que não tenha acesso a suas contas on-line".
Faça com que a maioria das pessoas. Em um post em seu blog de segurança, o Google divulgou na quarta-feira que descobriu uma "configuração incorreta" com a versão Bluetooth Low Energy de sua chave de segurança Titan que poderia permitir que um invasor próximo "se comunicasse com sua chave de segurança ou se comunicasse com o dispositivo". qual a sua chave está emparelhada. ”
Como o Google explica, há duas maneiras de atacar um atacante. Ao emparelhar a chave com seu PC ou telefone, alguém pode “potencialmente conectar seu próprio dispositivo à sua chave de segurança afetada antes que seu próprio dispositivo se conecte (e) faça login em sua conta usando seu próprio dispositivo se o invasor já tiver obtido seu nome de usuário e senha poderia cronometrar esses eventos exatamente.
Além disso, se você estiver usando o dispositivo para obter autenticação, um invasor “poderá usar seu dispositivo para se disfarçar como sua chave de segurança afetada e se conectar ao seu dispositivo no momento em que você for solicitado a pressionar o botão na sua chave. Depois disso, eles podem tentar alterar o dispositivo para aparecer como um teclado ou mouse Bluetooth e possivelmente executar ações no dispositivo. ”
O que isso significa para você: embora, certamente, seja um caso raro - como é uma chave Bluetooth, um atacante precisaria estar a 30 pés de você quando você pressiona o botão - ainda é provável que seja alarmante para qualquer pessoa que tenha comprado uma chave conta. Em vez de tentar corrigir a vulnerabilidade via software, o Google substituirá todas as chaves de segurança afetadas gratuitamente. Para verificar se a sua chave está entre as unidades afetadas, observe o pequeno número acima da porta USB na parte traseira. Se ele ler T1 ou T2, sua chave precisa ser substituída.
O Google recomenda o uso da autenticação de segurança baseada em NFC ou USB até a chegada da substituição, pois esses métodos não são afetados pelo problema. Além disso, o próximo patch de segurança de junho de 2019 para dispositivos Android desconectará automaticamente as chaves de segurança Bluetooth afetadas para eliminar o risco de ataque.
Todos os usuários afetados podem solicitar uma substituição gratuita visitando google.com/replacemykey.
Nenhum comentário:
Postar um comentário