2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
該公司透露,谷歌泰坦安全密鑰中錯誤配置的藍牙配對協(xié)議可能允許攻擊者繞過加密并劫持用戶帳戶。谷歌已經(jīng)表示,它將開始提供其曾被稱為“當(dāng)今市場上最強大,最抗釣魚兩步驗證(2SV)的方法”的替代產(chǎn)品,此前發(fā)現(xiàn)的漏洞將賬戶信息暴露給藍牙范圍內(nèi)的人。
該公司向客戶保證,2017年首次推出的密鑰仍然可以完成工作,并提供基于FIDO標(biāo)準(zhǔn)的多因素認(rèn)證,該標(biāo)準(zhǔn)比普通2SV更強,但50美元的成本將被免除如果他們想要一個替換單位
“此漏洞僅影響藍牙配對,因此非藍牙安全密鑰不受影響,”Google Cloud產(chǎn)品經(jīng)理Christiaan Brand表示。“藍牙泰坦安全密鑰的當(dāng)前用戶應(yīng)該在等待更換時繼續(xù)使用現(xiàn)有密鑰,因為安全密鑰可以提供最強大的防網(wǎng)絡(luò)釣魚保護。”
Titan鍵通過充當(dāng)另一個身份驗證步驟工作,并通過藍牙連接與用戶的設(shè)備(如手機或筆記本電腦)鏈接。此連接中的缺陷意味著攻擊者可能會欺騙手機或筆記本電腦,使其認(rèn)為攻擊者自己的設(shè)備是安全密鑰。如果達到此目的,攻擊者可以繞過身份驗證過程并開始通過模仿外部鍵盤和鼠標(biāo)來更改用戶的設(shè)備。嘗試登錄帳戶時,Titan用戶需要按藍牙鍵上的按鈕來驗證登錄嘗試。據(jù)發(fā)現(xiàn),按下此按鈕后,攻擊者會有一個狹窄的窗口將自己的設(shè)備連接到安全密鑰,這可能導(dǎo)致攻擊者從他們的設(shè)備登錄到用戶的帳戶,前提是他們已經(jīng)有用戶的電子郵件和密碼。
可以認(rèn)為,如果攻擊者擁有您的帳戶憑據(jù),知道您使用Titan密鑰并且距離您所在位置30米以內(nèi)的情況不太可能發(fā)生,但它仍然嚴(yán)重到足以促使Google采取措施替換所有受影響的人鍵。不過,其他人則不那么懷疑了。
“你必須在安全密鑰30英尺范圍內(nèi)的事實不是問題,特別是當(dāng)你考慮編譯和腳本軟件運行速度有多快時,”Venafi企業(yè)安全支持總監(jiān)Mark Miller說。“此外,很多人在咖啡店和機場等公共場所開展業(yè)務(wù),因此將加密狗連接到設(shè)備并不是那么牽強。”
“從技術(shù)角度來看,這些密鑰非常棒;它們使安全性更容易消費”,他補充說。“然而,沒有完美的技術(shù),所以我很高興谷歌采取主動并召回這些鑰匙。”
最近,谷歌宣布將為運行Android 7.0或更高版本的所有Android手機提供新形式的Titan Security鍵,其Pixel手機系列也將獲得更安全的版本。
手機作為安全密鑰(PaaSK)標(biāo)準(zhǔn)于2019年在Google Cloud上宣布,而不是手持外置Titan Security密鑰,所需要的只是解鎖您的Google帳戶關(guān)聯(lián)Android設(shè)備并按下按鈕批準(zhǔn)實時登錄。
Titan密鑰最初是為了打擊網(wǎng)絡(luò)釣魚企圖,利用易受攻擊的2SV方法,例如文本提供的確認(rèn)代碼 - 一種可以相對容易地被劫持的通信方法。
在谷歌的其他新聞中,周三在Google Pay的設(shè)置中發(fā)現(xiàn)了隱私漏洞。有關(guān)用戶分享信譽,個人信息或Google Pay帳戶信息的可選設(shè)置隱藏在特殊網(wǎng)址后面,而不是直接通過Google Pay帳戶設(shè)置頁面。
谷歌此后將此錯誤歸因于更新遺留的故障,現(xiàn)在已將其修復(fù),以便現(xiàn)在三個隱私設(shè)置正常顯示。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。