Fallo de Bluetooth encontrado en las claves de seguridad de Google Titan

Iniciado por K A I L, Mayo 16, 2019, 11:35:55 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Un equipo de investigadores de seguridad de Microsoft descubrió una vulnerabilidad potencialmente grave en la versión compatible con Bluetooth de las claves de seguridad Titan de Google que no se puedo reparar con una actualización de software.

Sin embargo, los usuarios no deben preocuparse, ya que Google ha anunciado que ofrecerá un reemplazo gratuito.

En un aviso de seguridad publicado el miércoles, Google dijo que una "mala configuración en los protocolos de emparejamiento de Bluetooth de Titan Security Keys" podría permitir que un atacante físicamente cerca de su clave de seguridad (~ 9 metros) se comunique con él o con el dispositivo en el que se encuentra su clave.

Lanzado por Google en agosto del año pasado, Titan Security Key es un dispositivo USB de bajo costo que ofrece autenticación de dos factores basada en hardware (2FA) para cuentas en línea con el nivel más alto de protección contra ataques de phishing.

La clave de seguridad Titan, incluye dos claves: una clave de seguridad USB-A con NFC y una clave Bluetooth / NFC equipada con batería y equipada con Micro-USB para la autenticación segura de dos factores.

Según Google, la vulnerabilidad solo afecta a la versión BLE de las claves de seguridad de Titan que tienen un signo "T1" o "T2" en la parte posterior de la misma, y ​​otras claves de seguridad que no son Bluetooth, versiones compatibles con USB o NFC, son seguras de usar .

Google Cloud Product Manager, Christiaan Brand, describe en su blog un posible escenario de ataque:

"Cuando intenta iniciar sesión en una cuenta en su dispositivo, normalmente se le pide que presione el botón en su clave de seguridad BLE para activarlo. Un atacante que se encuentre cerca en ese momento puede potencialmente conectar su propio dispositivo a "su clave de seguridad afectada antes de que su propio dispositivo se conecte. En este conjunto de circunstancias, el atacante podría iniciar sesión en su cuenta utilizando su propio dispositivo si el atacante de alguna manera ya obtuvo su nombre de usuario y contraseña y podría cronometrar estos eventos exactamente".

"Antes de que pueda usar su clave de seguridad, debe emparejarse con su dispositivo. Una vez emparejado, un atacante que se encuentre cerca de usted podría usar su dispositivo para hacerse pasar por su clave de seguridad afectada y conectarse a su dispositivo en el momento que se le solicite para presionar el botón de su tecla. Después de eso, podrían intentar cambiar su dispositivo para que aparezca como un teclado o mouse Bluetooth y posiblemente tomar medidas en su dispositivo ".


Originalmente, Microsoft descubrió la vulnerabilidad y la reveló a Google, así como a Feitian, la compañía que fabrica Titan Keys para Google y también vende el mismo producto (ePass) bajo su propia marca.

Feitian también hizo una divulgación coordinada sobre esta vulnerabilidad el mismo día que Google y está ofreciendo un programa de reemplazo gratuito para sus usuarios.

Como el problema solo afecta al protocolo de emparejamiento de baja energía de Bluetooth y no a la seguridad criptográfica de la clave en sí, Google recomienda a los usuarios afectados que sigan usando sus claves existentes hasta que obtengan un reemplazo.

Google también dice que la clave de seguridad de Bluetooth es aún más segura que apagarla por completo o confiar en otros métodos de autenticación de dos factores como SMS o llamadas telefónicas.

Sin embargo, sería mejor si toma algunas medidas adicionales al usar las claves de seguridad, como usarlas solo en un lugar privado y desemparejarlas inmediatamente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta