我們擅長商業策略與用戶體驗的完美結合。
歡迎瀏覽我們的案例。
5 月 16 日消息,據外媒報道,谷歌日前披露了其藍牙 Titan 安全密鑰存在的兩個安全漏洞,并承諾為用戶免費更換它們。
谷歌宣稱,“Titan 安全密鑰的藍牙匹配協議中存在配置錯誤”,可能允許黑客侵入用戶的帳戶或設備,盡管這種情況只會在幾種特定(且特別難以實現)的情況下實現。
谷歌表示,今天的披露是一種協調行動,因為負責生產這種受影響產品的飛天公司(Feitian)同時也在披露這一問題。后者今天也披露了同樣的安全漏洞,并承諾為其用戶提供更換服務。飛天公司為谷歌生產 Titan 密匙,同時也以自己的品牌銷售密鑰。谷歌稱,微軟最初發現了這個漏洞,并向飛天公司報告了其發現。
長期以來,谷歌一直是兩步認證機制(2FA)的領先者。特別是,該公司始終在推銷其 Titan 安全密鑰,稱其是更安全的方式,使 2FA 比身份驗證應用更簡單易用。谷歌在這方面沒有做錯,但考慮到它的目的是提供更高級別的安全保護,其對任何潛在的安全漏洞都將進行更高級別的審查。
谷歌披露了兩個漏洞。第一,當用戶按下登錄身份驗證按鈕時,如果黑客在其密鑰 10 米左右的 Bluetooth Low Energy 范圍內,他們就可以將其設備與用戶的安全密鑰相連。如果他們獲取用戶的密碼,他們就可以進入起帳戶。
第二種可能的情況是,當用戶第一次配對密鑰時,黑客可以“偽裝成受影響的安全密鑰并連接到其設備”,然后在用戶的設備上執行與其他藍牙設備相同的操作,例如充當鍵盤或鼠標。
因此,黑客需要知道這些漏洞,擁有能夠利用該漏洞的軟件,并需要在正確的時間執行攻擊。不過,這是一系列不太可能發生的事件,但像 Titan 這樣的物理安全鑰匙需要達到更高的標準,才能確保人們的信任。
在線身份保護設備領先提供商 Yubico 的創始人曾批評谷歌推出了 BLE 密鑰,因為其認為這種設備不會像 USB 或 NFC 那樣安全。谷歌披露的 Titan 安全密鑰藍牙漏洞并不影響最近推出的、使用安卓手機作為物理安全密鑰的能力。這種方法并不像 Titan 和飛天密匙那樣依賴藍牙配對。
如果用戶的 Titan 密匙上有“T1”或“T2”字樣 ,就有資格要求免費更換。谷歌建議用戶繼續使用自己的安全密鑰,它仍然可能比其他兩步驗證方法更安全,而且絕對比不使用兩步驗證更安全。
(武安網站建設)
