באג אבטחה התגלה במפתח ה-Titan של גוגל

אתמול (ד') חשפה גוגל, כי באג אבטחה במכשיר Titan Bluetooth key עלול לאפשר לתוקפים המצויים בקרבה פיזית למכשיר לעקוף את האבטחה שהמכשיר אמור לספק. לדברי החברה, הבאג נובע מקונפיגורציה שגויה בפרוטוקול הצימוד של המכשיר, אבל לדבריה, גם מכשירים תקולים עדיין מגינים נגד תקיפות פישינג. ובכל זאת, החברה תחליף בחינם את כל המכשירים של המשתמשים הנוכחיים.

לפני קצת פחות משנה השיקה גוגל מפתח אבטחה בעל אימות כפול, בשם Titan Security Key, בשתי תצורות – האחת מבוססת בלוטות', המיועדת למכשירים ניידים וסלולריים, והשנייה כפלאג המוכנס ליציאת ה-USB של המחשב. המפתחות משמשים לאימות מבוסס חומרה לשירותים השונים השונים של החברה, כמו דואר ועוד.

הבאג שהתגלה משפיע על כל מוצרי Titan Bluetooth key, שנמכרים תמורת 50 דולר וכוללים גם מפתח USB/NFC, שמצוין בגבם T1 או T2.

אפשרות לניצול הפגיעות כשממוקמים עד 10 מטרים מהמכשיר

כדי לנצל את הפרצה, הפורץ שנמצא במרחק של עד 10 מטרים מן המכשיר צריך לפעול במהירות ברגע שבעליו של המכשיר לוחץ על הכפתור כדי להפעילו. ברגע זה, ולפני שהמחשב של המשתמש יתחבר אליו, יכול הפורץ לחבר את המחשב שלו למכשיר. בהנחה שיש לפורץ את שם המשתמש של בעל המכשיר ואת הסיסמה שלו – הוא יכול להיכנס לחשבון של בעל המכשיר.

גוגל ציינה בנוסף, כי לפני השימוש במפתח, בעליו צריך לצמד אותו למחשב, ובשל הבאג בפרוטוקול הצימוד התוקף יכול גם לדמות את המחשב שלו כמפתח אבטחה, וכך להתחבר למחשב של בעל המפתח.

אמנם פעולת התקיפה צריכה להתקיים בעיתוי מדויק, כאשר בעל המפתח לוחץ על הכפתור כדי להפעילו, ועל התוקף לדעת את שם המשתמש והסיסמה, אבל תוקף עיקש עשוי להשיג את מטרתו.

גוגל טוענת כי תקלה זו אינה משפיעה על הייעוד העיקרי של מפתח ה-Titan, שהיא הגנה נגד מתקפות פישינג, ומציינת כי המשתמשים יכולים להמשיך להשתמש בו עד החלפתו. "בטוח הרבה יותר להשתמש במפתח התקול מאשר לא להשתמש כלל במפתח. מפתחות אבטחה הם ההגנה הטובה ביותר הקיימת כיום נגד מתקפות פישינג", ציינה החברה בהודעתה.