谷歌最安全的帐户验证工具中存在安全漏洞

该公司透露,谷歌泰坦安全密钥中错误配置的蓝牙配对协议可能允许攻击者绕过加密并劫持用户帐户。谷歌已经表示,它将开始提供其曾被称为“当今市场上最强大,最抗钓鱼两步验证(2SV)的方法”的替代产品,此前发现的漏洞将账户信息暴露给蓝牙范围内的人。

该公司向客户保证,2017年首次推出的密钥仍然可以完成工作,并提供基于FIDO标准的多因素认证,该标准比普通2SV更强,但50美元的成本将被免除如果他们想要一个替换单位

“此漏洞仅影响蓝牙配对,因此非蓝牙安全密钥不受影响,”Google Cloud产品经理Christiaan Brand表示。“蓝牙泰坦安全密钥的当前用户应该在等待更换时继续使用现有密钥,因为安全密钥可以提供最强大的防网络钓鱼保护。”

Titan键通过充当另一个身份验证步骤工作,并通过蓝牙连接与用户的设备(如手机或笔记本电脑)链接。此连接中的缺陷意味着攻击者可能会欺骗手机或笔记本电脑,使其认为攻击者自己的设备是安全密钥。如果达到此目的,攻击者可以绕过身份验证过程并开始通过模仿外部键盘和鼠标来更改用户的设备。尝试登录帐户时,Titan用户需要按蓝牙键上的按钮来验证登录尝试。据发现,按下此按钮后,攻击者会有一个狭窄的窗口将自己的设备连接到安全密钥,这可能导致攻击者从他们的设备登录到用户的帐户,前提是他们已经有用户的电子邮件和密码。

可以认为,如果攻击者拥有您的帐户凭据,知道您使用Titan密钥并且距离您所在位置30米以内的情况不太可能发生,但它仍然严重到足以促使Google采取措施替换所有受影响的人键。不过,其他人则不那么怀疑了。

“你必须在安全密钥30英尺范围内的事实不是问题,特别是当你考虑编译和脚本软件运行速度有多快时,”Venafi企业安全支持总监Mark Miller说。“此外,很多人在咖啡店和机场等公共场所开展业务,因此将加密狗连接到设备并不是那么牵强。”

“从技术角度来看,这些密钥非常棒;它们使安全性更容易消费”,他补充说。“然而,没有完美的技术,所以我很高兴谷歌采取主动并召回这些钥匙。”

最近,谷歌宣布将为运行Android 7.0或更高版本的所有Android手机提供新形式的Titan Security键,其Pixel手机系列也将获得更安全的版本。

手机作为安全密钥(PaaSK)标准于2019年在Google Cloud上宣布,而不是手持外置Titan Security密钥,所需要的只是解锁您的Google帐户关联Android设备并按下按钮批准实时登录。

Titan密钥最初是为了打击网络钓鱼企图,利用易受攻击的2SV方法,例如文本提供的确认代码 - 一种可以相对容易地被劫持的通信方法。

在谷歌的其他新闻中,周三在Google Pay的设置中发现了隐私漏洞。有关用户分享信誉,个人信息或Google Pay帐户信息的可选设置隐藏在特殊网址后面,而不是直接通过Google Pay帐户设置页面。

谷歌此后将此错误归因于更新遗留的故障,现在已将其修复,以便现在三个隐私设置正常显示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。