谷歌最安全的帳戶驗證工具中存在安全漏洞

該公司透露，谷歌泰坦安全密鑰中錯誤配置的藍牙配對協(xié)議可能允許攻擊者繞過加密并劫持用戶帳戶。谷歌已經(jīng)表示，它將開始提供其曾被稱為“當今市場上最強大，最抗釣魚兩步驗證(2SV)的方法”的替代產(chǎn)品，此前發(fā)現(xiàn)的漏洞將賬戶信息暴露給藍牙范圍內(nèi)的人。

該公司向客戶保證，2017年首次推出的密鑰仍然可以完成工作，并提供基于FIDO標準的多因素認證，該標準比普通2SV更強，但50美元的成本將被免除如果他們想要一個替換單位

“此漏洞僅影響藍牙配對，因此非藍牙安全密鑰不受影響，”Google Cloud產(chǎn)品經(jīng)理Christiaan Brand表示。“藍牙泰坦安全密鑰的當前用戶應(yīng)該在等待更換時繼續(xù)使用現(xiàn)有密鑰，因為安全密鑰可以提供最強大的防網(wǎng)絡(luò)釣魚保護。”

Titan鍵通過充當另一個身份驗證步驟工作，并通過藍牙連接與用戶的設(shè)備(如手機或筆記本電腦)鏈接。此連接中的缺陷意味著攻擊者可能會欺騙手機或筆記本電腦，使其認為攻擊者自己的設(shè)備是安全密鑰。如果達到此目的，攻擊者可以繞過身份驗證過程并開始通過模仿外部鍵盤和鼠標來更改用戶的設(shè)備。嘗試登錄帳戶時，Titan用戶需要按藍牙鍵上的按鈕來驗證登錄嘗試。據(jù)發(fā)現(xiàn)，按下此按鈕后，攻擊者會有一個狹窄的窗口將自己的設(shè)備連接到安全密鑰，這可能導(dǎo)致攻擊者從他們的設(shè)備登錄到用戶的帳戶，前提是他們已經(jīng)有用戶的電子郵件和密碼。

可以認為，如果攻擊者擁有您的帳戶憑據(jù)，知道您使用Titan密鑰并且距離您所在位置30米以內(nèi)的情況不太可能發(fā)生，但它仍然嚴重到足以促使Google采取措施替換所有受影響的人鍵。不過，其他人則不那么懷疑了。

“你必須在安全密鑰30英尺范圍內(nèi)的事實不是問題，特別是當你考慮編譯和腳本軟件運行速度有多快時，”Venafi企業(yè)安全支持總監(jiān)Mark Miller說。“此外，很多人在咖啡店和機場等公共場所開展業(yè)務(wù)，因此將加密狗連接到設(shè)備并不是那么牽強。”

“從技術(shù)角度來看，這些密鑰非常棒;它們使安全性更容易消費”，他補充說。“然而，沒有完美的技術(shù)，所以我很高興谷歌采取主動并召回這些鑰匙。”

最近，谷歌宣布將為運行Android 7.0或更高版本的所有Android手機提供新形式的Titan Security鍵，其Pixel手機系列也將獲得更安全的版本。

手機作為安全密鑰(PaaSK)標準于2019年在Google Cloud上宣布，而不是手持外置Titan Security密鑰，所需要的只是解鎖您的Google帳戶關(guān)聯(lián)Android設(shè)備并按下按鈕批準實時登錄。

Titan密鑰最初是為了打擊網(wǎng)絡(luò)釣魚企圖，利用易受攻擊的2SV方法，例如文本提供的確認代碼 - 一種可以相對容易地被劫持的通信方法。

在谷歌的其他新聞中，周三在Google Pay的設(shè)置中發(fā)現(xiàn)了隱私漏洞。有關(guān)用戶分享信譽，個人信息或Google Pay帳戶信息的可選設(shè)置隱藏在特殊網(wǎng)址后面，而不是直接通過Google Pay帳戶設(shè)置頁面。

谷歌此后將此錯誤歸因于更新遺留的故障，現(xiàn)在已將其修復(fù)，以便現(xiàn)在三個隱私設(shè)置正常顯示。