Google去年开卖的蓝牙版本Titan硬件密钥设备发现有安全漏洞,可使攻击者登录用户帐号或接管设备,Google周三(5月15日)宣布将回收并提供消费者免费换新。
Titan安全密钥为Google自有开发的FIDO2硬件密钥,号称提供比一次性短信密码更安全的双重验证(2FA),防止Google用户遭受网络钓鱼攻击骗取帐密。它有BLE(Bluetooth Low Energy)及USB版本,售价皆为50美元。
Google发现美国地区销售的BLE版Titan安全密钥有项漏洞。该漏洞出于Titan安全密钥的蓝牙配对协议的组态错误,可能让位于用户周边约30英尺(约9米)的攻击者在配对过程中,和用户的Titan BLE密钥或设备发生交互。在前者情况中,当用户在其设备上准备登录帐号时,会被要求按下BLE密钥上的按钮,这时攻击者可抢先以其设备连接BLE密钥,而如果他刚好有用户帐户名称及密码,即可登录用户帐号。后者情况下,用户BLE密钥配对自己的设备、并按下密钥上的按钮时,黑客可以其设备冒充BLE密钥而连上用户设备。之后黑客将设备伪装成蓝牙键盘或鼠标,即可在受害者设备上输入或做任何事情。
竞争厂商Yubico首席执行官Stina Ehrensvard,去年在Titan上市时即曾提及BLE的安全性不如USB和NFC,并指出基于安全性及可使用性问题,该公司不推出BLE版本产品。
Titan密钥产品的这项漏洞仅影响BLE版,USB版不受影响。BLE版用户可检查密钥背后,有T1和T2序号者就代表中标,符合免费更换的资格。
Google最后提醒,漏洞问题并不会损及安全登录的主要功能,所以即使用户中标,也应持续使用,以便在等候更新期间确保免于钓鱼攻击,并且不要擅自关闭两步验证或降级到较不安全的保护机制,如短信密码。