Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Fallo de Bluetooth encontrado en las claves de seguridad de Google Titan

  • 0 Respuestas
  • 744 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado K A I L

  • *
  • Moderador
  • Mensajes: 143
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
« en: Mayo 16, 2019, 11:35:55 am »

Un equipo de investigadores de seguridad de Microsoft descubrió una vulnerabilidad potencialmente grave en la versión compatible con Bluetooth de las claves de seguridad Titan de Google que no se puedo reparar con una actualización de software.

Sin embargo, los usuarios no deben preocuparse, ya que Google ha anunciado que ofrecerá un reemplazo gratuito.

En un aviso de seguridad publicado el miércoles, Google dijo que una "mala configuración en los protocolos de emparejamiento de Bluetooth de Titan Security Keys" podría permitir que un atacante físicamente cerca de su clave de seguridad (~ 9 metros) se comunique con él o con el dispositivo en el que se encuentra su clave.

Lanzado por Google en agosto del año pasado, Titan Security Key es un dispositivo USB de bajo costo que ofrece autenticación de dos factores basada en hardware (2FA) para cuentas en línea con el nivel más alto de protección contra ataques de phishing.

La clave de seguridad Titan, incluye dos claves: una clave de seguridad USB-A con NFC y una clave Bluetooth / NFC equipada con batería y equipada con Micro-USB para la autenticación segura de dos factores.

Según Google, la vulnerabilidad solo afecta a la versión BLE de las claves de seguridad de Titan que tienen un signo "T1" o "T2" en la parte posterior de la misma, y ​​otras claves de seguridad que no son Bluetooth, versiones compatibles con USB o NFC, son seguras de usar .

Google Cloud Product Manager, Christiaan Brand, describe en su blog un posible escenario de ataque:

"Cuando intenta iniciar sesión en una cuenta en su dispositivo, normalmente se le pide que presione el botón en su clave de seguridad BLE para activarlo. Un atacante que se encuentre cerca en ese momento puede potencialmente conectar su propio dispositivo a "su clave de seguridad afectada antes de que su propio dispositivo se conecte. En este conjunto de circunstancias, el atacante podría iniciar sesión en su cuenta utilizando su propio dispositivo si el atacante de alguna manera ya obtuvo su nombre de usuario y contraseña y podría cronometrar estos eventos exactamente".

"Antes de que pueda usar su clave de seguridad, debe emparejarse con su dispositivo. Una vez emparejado, un atacante que se encuentre cerca de usted podría usar su dispositivo para hacerse pasar por su clave de seguridad afectada y conectarse a su dispositivo en el momento que se le solicite para presionar el botón de su tecla. Después de eso, podrían intentar cambiar su dispositivo para que aparezca como un teclado o mouse Bluetooth y posiblemente tomar medidas en su dispositivo ".


Originalmente, Microsoft descubrió la vulnerabilidad y la reveló a Google, así como a Feitian, la compañía que fabrica Titan Keys para Google y también vende el mismo producto (ePass) bajo su propia marca.

Feitian también hizo una divulgación coordinada sobre esta vulnerabilidad el mismo día que Google y está ofreciendo un programa de reemplazo gratuito para sus usuarios.

Como el problema solo afecta al protocolo de emparejamiento de baja energía de Bluetooth y no a la seguridad criptográfica de la clave en sí, Google recomienda a los usuarios afectados que sigan usando sus claves existentes hasta que obtengan un reemplazo.

Google también dice que la clave de seguridad de Bluetooth es aún más segura que apagarla por completo o confiar en otros métodos de autenticación de dos factores como SMS o llamadas telefónicas.

Sin embargo, sería mejor si toma algunas medidas adicionales al usar las claves de seguridad, como usarlas solo en un lugar privado y desemparejarlas inmediatamente.

FUENTE

 

¿Te gustó el post? COMPARTILO!



Reino Unido teme a Kaspersky: cree que el software ruso compromete la seguridad

Iniciado por graphixx

Respuestas: 0
Vistas: 1388
Último mensaje Diciembre 05, 2017, 01:26:50 pm
por graphixx
Brecha de seguridad en Town of Salem expone 7.6 millones de cuentas de jugadores

Iniciado por AXCESS

Respuestas: 0
Vistas: 966
Último mensaje Enero 05, 2019, 01:57:33 pm
por AXCESS
Equipo Mundial de Seguridad de la Copa FIFA accidentalmente revela su conexión..

Iniciado por Mayk0

Respuestas: 1
Vistas: 1873
Último mensaje Junio 29, 2014, 07:44:24 pm
por Once
Huawei: Reino Unido denuncia nuevas fallas “significativas” de seguridad

Iniciado por AXCESS

Respuestas: 0
Vistas: 848
Último mensaje Marzo 28, 2019, 04:33:15 pm
por AXCESS
La Wi-Fi Alliance presenta WPA3, la nueva versión para proporcionar seguridad

Iniciado por K A I L

Respuestas: 0
Vistas: 1492
Último mensaje Enero 08, 2018, 10:26:40 pm
por K A I L