侵權投訴
訂閱
糾錯
加入自媒體
當前位置: OFweek 安防網   >   其它   >  正文

谷歌藍牙密鑰爆安全漏洞 其承諾為用戶免費更換

2019-05-16 10:36
AI銳見
關注

據外媒報道,近日曝光了谷歌Titan藍牙安全密鑰中的一個漏洞,該漏洞可能會使接近該密鑰現實位置的攻擊者成功破壞其安全性。

該公司表示,該漏洞是由于“Titan安全密鑰的藍牙配對協議配置錯誤”造成的,即使是有故障的密鑰也能抵御網絡釣魚的攻擊。

不過,該公司仍在為所有現有用戶提供免費的密鑰更換,這個漏洞會影響到所有Titan藍牙密鑰。該密鑰售價50美元,包括一個標準USB/NFC,背面印有“T1”或“T2”的標識。

谷歌藍牙密鑰爆安全漏洞 其承諾為用戶免費更換

想要利用這個漏洞,攻擊者必須在藍牙范圍以內,并且在用戶按下按鍵激活時迅速行動。然后,攻擊者可以使用錯誤配置的協議在用戶自己的設備連接之前將自己的設備連接到密鑰。這樣,他們可以獲得用戶的賬號和密碼,繼而登錄賬戶。

谷歌還指出,在使用密鑰之前,它必須與用戶的設備配對。攻擊者還可能通過使用自己的設備偽裝成安全密鑰,以便在用戶開始配對時連接到設備。通過這樣做,攻擊者可以將他們的設備作為鍵盤或鼠標,遠程控制用戶的筆記本電腦。

雖然所有這一切動作都必須在恰當的時間行動,并且攻擊者必須已經知道用戶的證書憑證。但是,一個專業(yè)的黑客可以輕松做到這一點。

谷歌辯稱,這個問題不會影響Titan密鑰的主要任務,即防止網絡釣魚攻擊。“使用受影響的密鑰比不適用還要更加安全,安全密鑰是目前可用的最強大的網絡釣魚保護措施,”該公司在今天的公告中寫道。

谷歌在安全密鑰領域的一些競爭對手,包括Yubico,由于潛在的安全問題決定不使用藍牙,并批評谷歌發(fā)布了藍牙密鑰。

谷歌藍牙密鑰爆安全漏洞 其承諾為用戶免費更換

當谷歌發(fā)布其Titan密鑰時,Yubico創(chuàng)始人Stina Ehrensvard寫道:“雖然Yubico之前啟動了BLE安全密鑰的開發(fā),并為BLE U2F標準的工作做出了貢獻,但我們決定不推出該產品,因為它不符合我們的安全、可用性和耐用性標準!

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    文章糾錯
    x
    *文字標題:
    *糾錯內容:
    聯系郵箱:
    *驗 證 碼:

    粵公網安備 44030502002758號