5 月 16 日消息����,據外媒報道���,谷歌日前披露了其藍牙 Titan 安全密鑰存在的兩個(gè)安全漏洞���,并承諾為用戶(hù)免費更換它們���。
谷歌宣稱(chēng)�,“Titan 安全密鑰的藍牙匹配協(xié)議中存在配置錯誤”�����,可能允許黑客侵入用戶(hù)的帳戶(hù)或設備���,盡管這種情況只會(huì )在幾種特定(且特別難以實(shí)現)的情況下實(shí)現��。
谷歌表示��,今天的披露是一種協(xié)調行動(dòng)�,因為負責生產(chǎn)這種受影響產(chǎn)品的飛天公司(Feitian)同時(shí)也在披露這一問(wèn)題�����。后者今天也披露了同樣的安全漏洞�����,并承諾為其用戶(hù)提供更換服務(wù)����。飛天公司為谷歌生產(chǎn) Titan 密匙���,同時(shí)也以自己的品牌銷(xiāo)售密鑰����。谷歌稱(chēng)��,微軟最初發(fā)現了這個(gè)漏洞��,并向飛天公司報告了其發(fā)現����。
長(cháng)期以來(lái)��,谷歌一直是兩步認證機制(2FA)的領(lǐng)先者�。特別是����,該公司始終在推銷(xiāo)其 Titan 安全密鑰��,稱(chēng)其是更安全的方式���,使 2FA 比身份驗證應用更簡(jiǎn)單易用���。谷歌在這方面沒(méi)有做錯����,但考慮到它的目的是提供更高級別的安全保護�����,其對任何潛在的安全漏洞都將進(jìn)行更高級別的審查�。
谷歌披露了兩個(gè)漏洞���。第一����,當用戶(hù)按下登錄身份驗證按鈕時(shí)��,如果黑客在其密鑰 10 米左右的 Bluetooth Low Energy 范圍內�,他們就可以將其設備與用戶(hù)的安全密鑰相連�。如果他們獲取用戶(hù)的密碼��,他們就可以進(jìn)入起帳戶(hù)����。
第二種可能的情況是�,當用戶(hù)第一次配對密鑰時(shí)�����,黑客可以“偽裝成受影響的安全密鑰并連接到其設備”����,然后在用戶(hù)的設備上執行與其他藍牙設備相同的操作�,例如充當鍵盤(pán)或鼠標����。
因此�����,黑客需要知道這些漏洞��,擁有能夠利用該漏洞的軟件�����,并需要在正確的時(shí)間執行攻擊�����。不過(guò)����,這是一系列不太可能發(fā)生的事件�,但像 Titan 這樣的物理安全鑰匙需要達到更高的標準����,才能確保人們的信任����。
在線(xiàn)身份保護設備領(lǐng)先提供商 Yubico 的創(chuàng )始人曾批評谷歌推出了 BLE 密鑰���,因為其認為這種設備不會(huì )像 USB 或 NFC 那樣安全��。谷歌披露的 Titan 安全密鑰藍牙漏洞并不影響最近推出的�����、使用安卓手機作為物理安全密鑰的能力���。這種方法并不像 Titan 和飛天密匙那樣依賴(lài)藍牙配對����。
如果用戶(hù)的 Titan 密匙上有“T1”或“T2”字樣 �,就有資格要求免費更換����。谷歌建議用戶(hù)繼續使用自己的安全密鑰�����,它仍然可能比其他兩步驗證方法更安全����,而且絕對比不使用兩步驗證更安全���。
?��。?a href="http://www.wxlp666.cn/city/wuan/">武安網(wǎng)站建設)
