谷歌最安全的帳戶驗(yàn)證工具中存在安全漏洞

該公司透露，谷歌泰坦安全密鑰中錯(cuò)誤配置的藍(lán)牙配對(duì)協(xié)議可能允許攻擊者繞過(guò)加密并劫持用戶帳戶。谷歌已經(jīng)表示，它將開(kāi)始提供其曾被稱為“當(dāng)今市場(chǎng)上最強(qiáng)大，最抗釣魚兩步驗(yàn)證(2SV)的方法”的替代產(chǎn)品，此前發(fā)現(xiàn)的漏洞將賬戶信息暴露給藍(lán)牙范圍內(nèi)的人。

該公司向客戶保證，2017年首次推出的密鑰仍然可以完成工作，并提供基于FIDO標(biāo)準(zhǔn)的多因素認(rèn)證，該標(biāo)準(zhǔn)比普通2SV更強(qiáng)，但50美元的成本將被免除如果他們想要一個(gè)替換單位

“此漏洞僅影響藍(lán)牙配對(duì)，因此非藍(lán)牙安全密鑰不受影響，”Google Cloud產(chǎn)品經(jīng)理Christiaan Brand表示。“藍(lán)牙泰坦安全密鑰的當(dāng)前用戶應(yīng)該在等待更換時(shí)繼續(xù)使用現(xiàn)有密鑰，因?yàn)榘踩荑€可以提供最強(qiáng)大的防網(wǎng)絡(luò)釣魚保護(hù)。”

Titan鍵通過(guò)充當(dāng)另一個(gè)身份驗(yàn)證步驟工作，并通過(guò)藍(lán)牙連接與用戶的設(shè)備(如手機(jī)或筆記本電腦)鏈接。此連接中的缺陷意味著攻擊者可能會(huì)欺騙手機(jī)或筆記本電腦，使其認(rèn)為攻擊者自己的設(shè)備是安全密鑰。如果達(dá)到此目的，攻擊者可以繞過(guò)身份驗(yàn)證過(guò)程并開(kāi)始通過(guò)模仿外部鍵盤和鼠標(biāo)來(lái)更改用戶的設(shè)備。嘗試登錄帳戶時(shí)，Titan用戶需要按藍(lán)牙鍵上的按鈕來(lái)驗(yàn)證登錄嘗試。據(jù)發(fā)現(xiàn)，按下此按鈕后，攻擊者會(huì)有一個(gè)狹窄的窗口將自己的設(shè)備連接到安全密鑰，這可能導(dǎo)致攻擊者從他們的設(shè)備登錄到用戶的帳戶，前提是他們已經(jīng)有用戶的電子郵件和密碼。

可以認(rèn)為，如果攻擊者擁有您的帳戶憑據(jù)，知道您使用Titan密鑰并且距離您所在位置30米以內(nèi)的情況不太可能發(fā)生，但它仍然嚴(yán)重到足以促使Google采取措施替換所有受影響的人鍵。不過(guò)，其他人則不那么懷疑了。

“你必須在安全密鑰30英尺范圍內(nèi)的事實(shí)不是問(wèn)題，特別是當(dāng)你考慮編譯和腳本軟件運(yùn)行速度有多快時(shí)，”Venafi企業(yè)安全支持總監(jiān)Mark Miller說(shuō)。“此外，很多人在咖啡店和機(jī)場(chǎng)等公共場(chǎng)所開(kāi)展業(yè)務(wù)，因此將加密狗連接到設(shè)備并不是那么牽強(qiáng)。”

“從技術(shù)角度來(lái)看，這些密鑰非常棒;它們使安全性更容易消費(fèi)”，他補(bǔ)充說(shuō)。“然而，沒(méi)有完美的技術(shù)，所以我很高興谷歌采取主動(dòng)并召回這些鑰匙。”

最近，谷歌宣布將為運(yùn)行Android 7.0或更高版本的所有Android手機(jī)提供新形式的Titan Security鍵，其Pixel手機(jī)系列也將獲得更安全的版本。

手機(jī)作為安全密鑰(PaaSK)標(biāo)準(zhǔn)于2019年在Google Cloud上宣布，而不是手持外置Titan Security密鑰，所需要的只是解鎖您的Google帳戶關(guān)聯(lián)Android設(shè)備并按下按鈕批準(zhǔn)實(shí)時(shí)登錄。

Titan密鑰最初是為了打擊網(wǎng)絡(luò)釣魚企圖，利用易受攻擊的2SV方法，例如文本提供的確認(rèn)代碼 - 一種可以相對(duì)容易地被劫持的通信方法。

在谷歌的其他新聞中，周三在Google Pay的設(shè)置中發(fā)現(xiàn)了隱私漏洞。有關(guān)用戶分享信譽(yù)，個(gè)人信息或Google Pay帳戶信息的可選設(shè)置隱藏在特殊網(wǎng)址后面，而不是直接通過(guò)Google Pay帳戶設(shè)置頁(yè)面。

谷歌此后將此錯(cuò)誤歸因于更新遺留的故障，現(xiàn)在已將其修復(fù)，以便現(xiàn)在三個(gè)隱私設(shè)置正常顯示。