谷歌为该公司的蓝牙Titan安全密钥提供免费更换,因为一个漏洞可能会使设备在黑客附近被利用。
该问题涉及产品的蓝牙配对协议的错误配置。通常情况下,钥匙应该是这样工作的:你把它靠近你的电脑或智能手机,钥匙就会通过蓝牙通信解锁访问您的在线帐户。然而,谷歌发现攻击者有可能在登录过程中介入并劫持蓝牙配对过程。
“当你试图在你的设备上登录一个帐户时,通常会要求你按下[蓝牙低能耗]安全密钥上的按钮来激活它。在那个时刻,离你很近的攻击者可能会在你的设备连接之前,把他们自己的设备连接到你受影响的安全密钥,”谷歌产品经理克里斯蒂安·布兰德在一份声明中写道博客(在新窗口打开)关于漏洞。
(蓝牙泰坦键在左边;右侧为USB Titan Key)
不过,应该指出的是,这种攻击很难实现。在登录过程中,您需要在安全密钥的30英尺范围内并在场。你还得知道受害者的用户名和密码。
也就是说,谷歌一直在向企业出售其安全密钥技术,这不得不引起企业的担忧内部威胁还有商业间谍活动。该公司告诉PCMag,这个漏洞实际上是由微软报告的。
同样的漏洞还可以为黑客利用流氓设备通过蓝牙短暂模仿受害者的泰坦安全密钥铺平道路。”之后,(黑客)可能会试图将他们的设备更改为蓝牙键盘或鼠标,并可能对你的设备采取行动,”布兰德说。
作为回应,谷歌提供免费服务更换钥匙(在新窗口打开)致受影响的业主。你可以通过检查设备背面来确定你是否拥有一个有问题的蓝牙Titan安全密钥。如果它的底部有“T1”或“T2”,那么你的密钥就有问题。
受影响的用户也可以继续使用蓝牙Titan安全密钥,但谷歌建议仅在私人空间使用。布兰德在博客中说:“在你用钥匙登录了你的谷歌账户后,立即将其解除配对。”iOS 12.3和即将于6月发布的Android安全补丁也会在用户登录账户后自动解除受影响的安全密钥配对。
去年,谷歌开始以50美元的价格出售这款产品,其中包含一个蓝牙密钥和一个标准USB安全密钥。由于担心黑客会试图利用这一漏洞,该公司拒绝提供有关今天的漏洞的细节,以及它计划如何修复它。
谷歌的安全密钥的制造商是中国飞天公司,该公司表示自己有蓝牙功能安全密钥(在新窗口打开)遭受同样的错误。该公司还提供免费更换(在新窗口打开)给受影响的车主钥匙。
竞争对手Yubico拒绝提供蓝牙安全密钥,声称该技术“在安全性、可用性和持久性方面不符合我们的标准”。该公司表示:“BLE(低功耗蓝牙)不能提供NFC和USB的安全保障水平,而且需要电池和配对,用户体验很差。说(在新窗口打开)去年。
编者按:这个故事已被更正,注意到谷歌并没有召回产品,但提供免费更换。