5 月 16 日消息��,據外媒報道����,谷歌日前披露了其藍牙 Titan 安全密鑰存在的兩個(gè)安全漏洞�,并承諾為用戶(hù)免費更換它們�。
谷歌宣稱(chēng)�,“Titan 安全密鑰的藍牙匹配協(xié)議中存在配置錯誤”�����,可能允許黑客侵入用戶(hù)的帳戶(hù)或設備�����,盡管這種情況只會(huì )在幾種特定(且特別難以實(shí)現)的情況下實(shí)現�。
谷歌表示�,今天的披露是一種協(xié)調行動(dòng)��,因為負責生產(chǎn)這種受影響產(chǎn)品的飛天公司(Feitian)同時(shí)也在披露這一問(wèn)題�����。后者今天也披露了同樣的安全漏洞�����,并承諾為其用戶(hù)提供更換服務(wù)����。飛天公司為谷歌生產(chǎn) Titan 密匙��,同時(shí)也以自己的品牌銷(xiāo)售密鑰�����。谷歌稱(chēng)��,微軟最初發(fā)現了這個(gè)漏洞�����,并向飛天公司報告了其發(fā)現����。
長(cháng)期以來(lái)����,谷歌一直是兩步認證機制(2FA)的領(lǐng)先者�。特別是��,該公司始終在推銷(xiāo)其 Titan 安全密鑰���,稱(chēng)其是更安全的方式����,使 2FA 比身份驗證應用更簡(jiǎn)單易用��。谷歌在這方面沒(méi)有做錯��,但考慮到它的目的是提供更高級別的安全保護���,其對任何潛在的安全漏洞都將進(jìn)行更高級別的審查�����。
谷歌披露了兩個(gè)漏洞���。第一�����,當用戶(hù)按下登錄身份驗證按鈕時(shí)�����,如果黑客在其密鑰 10 米左右的 Bluetooth Low Energy 范圍內��,他們就可以將其設備與用戶(hù)的安全密鑰相連���。如果他們獲取用戶(hù)的密碼��,他們就可以進(jìn)入起帳戶(hù)�����。
第二種可能的情況是�,當用戶(hù)第一次配對密鑰時(shí)�,黑客可以“偽裝成受影響的安全密鑰并連接到其設備”����,然后在用戶(hù)的設備上執行與其他藍牙設備相同的操作�,例如充當鍵盤(pán)或鼠標���。
因此�����,黑客需要知道這些漏洞���,擁有能夠利用該漏洞的軟件����,并需要在正確的時(shí)間執行攻擊��。不過(guò)���,這是一系列不太可能發(fā)生的事件���,但像 Titan 這樣的物理安全鑰匙需要達到更高的標準��,才能確保人們的信任�。
在線(xiàn)身份保護設備領(lǐng)先提供商 Yubico 的創(chuàng )始人曾批評谷歌推出了 BLE 密鑰�����,因為其認為這種設備不會(huì )像 USB 或 NFC 那樣安全�����。谷歌披露的 Titan 安全密鑰藍牙漏洞并不影響最近推出的����、使用安卓手機作為物理安全密鑰的能力����。這種方法并不像 Titan 和飛天密匙那樣依賴(lài)藍牙配對�。
如果用戶(hù)的 Titan 密匙上有“T1”或“T2”字樣 ��,就有資格要求免費更換�。谷歌建議用戶(hù)繼續使用自己的安全密鑰��,它仍然可能比其他兩步驗證方法更安全����,而且絕對比不使用兩步驗證更安全���。
?����。?a href="http://www.cki5.com/city/wuan/">武安網(wǎng)站建設)
