奇點網>今日>正文

谷歌藍牙密匙曝安全漏洞 承諾為用戶免費更換

2019-07-02 09:12:00 中文科技資訊 分享

0OQ中文科技資訊

  5月16日消息,據外媒報道,谷歌日前披露了其藍牙Titan安全密鑰存在的兩個安全漏洞,并承諾為用戶免費更換它們。0OQ中文科技資訊

  谷歌宣稱,“Titan安全密鑰的藍牙匹配協議中存在配置錯誤”,可能允許黑客侵入用戶的帳戶或設備,盡管這種情況隻會在幾種特定(且特别難以實現)的情況下實現。0OQ中文科技資訊

  谷歌表示,今天的披露是一種協調行動,因為負責生産這種受影響産品的飛天公司(Feitian)同時也在披露這一問題。後者今天也披露了同樣的安全漏洞,并承諾為其用戶提供更換服務。飛天公司為谷歌生産Titan密匙,同時也以自己的品牌銷售密鑰。谷歌稱,微軟最初發現了這個漏洞,并向飛天公司報告了其發現。0OQ中文科技資訊

  長期以來,谷歌一直是兩步認證機制(2FA)的領先者。特别是,該公司始終在推銷其Titan安全密鑰,稱其是更安全的方式,使2FA比身份驗證應用更簡單易用。谷歌在這方面沒有做錯,但考慮到它的目的是提供更高級别的安全保護,其對任何潛在的安全漏洞都将進行更高級别的審查。0OQ中文科技資訊

  谷歌披露了兩個漏洞。第一,當用戶按下登錄身份驗證按鈕時,如果黑客在其密鑰10米左右的Bluetooth Low Energy範圍内,他們就可以将其設備與用戶的安全密鑰相連。如果他們獲取用戶的密碼,他們就可以進入起帳戶。0OQ中文科技資訊

  第二種可能的情況是,當用戶第一次配對密鑰時,黑客可以“僞裝成受影響的安全密鑰并連接到其設備”,然後在用戶的設備上執行與其他藍牙設備相同的操作,例如充當鍵盤或鼠标。0OQ中文科技資訊

  因此,黑客需要知道這些漏洞,擁有能夠利用該漏洞的軟件,并需要在正确的時間執行攻擊。不過,這是一系列不太可能發生的事件,但像Titan這樣的物理安全鑰匙需要達到更高的标準,才能确保人們的信任。0OQ中文科技資訊

  在線身份保護設備領先提供商Yubico的創始人曾批評谷歌推出了BLE密鑰,因為其認為這種設備不會像USB或NFC那樣安全。谷歌披露的Titan安全密鑰藍牙漏洞并不影響最近推出的、使用安卓手機作為物理安全密鑰的能力。這種方法并不像Titan和飛天密匙那樣依賴藍牙配對。0OQ中文科技資訊

  如果用戶的Titan密匙上有“T1”或“T2”字樣 ,就有資格要求免費更換。谷歌建議用戶繼續使用自己的安全密鑰,它仍然可能比其他兩步驗證方法更安全,而且絕對比不使用兩步驗證更安全。(騰訊科技審校/金鹿)0OQ中文科技資訊

聲明:本站部分資源來源于網絡,版權歸原作者或者來源機構所有,如作者或來源機構不同意本站轉載采用,請通知我們,我們将第一時間删除内容。本站刊載文章出于傳遞更多信息之目的,所刊文章觀點僅代表作者本人觀點,并不意味着本站贊同作者觀點或證實其描述,其原創性及對文章内容的真實性、完整性、及時性本站亦不作任何保證或承諾,請讀者僅作參考。
編輯:可欣