谷歌在发现蓝牙漏洞后回忆起一些Titan安全密钥
由于漏洞可能允许攻击者连接到您的设备,Google正在召回其蓝牙Titan安全密钥。根据Google周三发布的一篇博客文章,这个漏洞似乎只适用于非常狭隘的情况。在您按下Titan Key上的按钮激活它时,攻击者必须在距离您30英尺范围内,并且还知道您的用户名和密码。在这种情况下,攻击者可以使用他们的设备充当您的安全密钥并访问您的设备。
并非所有泰坦安全密钥都有这个漏洞,谷歌称这是由于密钥的蓝牙配对协议配置错误造成的。仅蓝牙低功耗(BLE)型号受到影响。如果您的Titan安全密钥背面有“T1”或“T2”,则表示它存在安全漏洞,并且有资格从Google进行替换。
但即使您的Titan Security Key有错误,也不要在等待替换时停止使用它。谷歌警告说,即使是有安全漏洞的密钥也比没有使用密钥更安全。只需采取额外的预防措施,例如远离其他人使用您的安全密钥,并在您登录Google帐户后立即取消配对。Google针对iOS和Android设备提供了更具体的说明,您可以在此处阅读。
近年来蓝牙设备中发现的大量安全漏洞引发了该技术是否安全的问题。谷歌在安全密钥领域的竞争对手尤比科批评谷歌推出支持蓝牙的安全密钥。“BLE不提供NFC和USB的安全保障级别,并且需要电池和配对,这提供了糟糕的用户体验,”该公司在去年的一篇博客文章中写道。
Armis首席技术官和联合创始人Nadir Izrael在一封电子邮件中同样告诉Engadget:“蓝牙是一个复杂的协议,看到问题我并不感到惊讶。这个漏洞强调了测试的重要性,以确保在实施时没有暴露或错误配置蓝牙协议。
我们在BlueBorne中看到了类似的问题,我们在其中确定了蓝牙实施级别问题如何导致RCE或中间人攻击。Google是一个专注于安全性的优秀组织。但是,如果这是由他们得到的,想象一下那里有潜在的10到120亿个其他蓝牙设备面临的问题。那些制造商是否确保他们已经弥补了这些安全漏洞?“
但据People for Internet Responsibility的Lauren Weinstein所说,影响Titan安全密钥的威胁范围似乎很小。他补充说,使用蓝牙安全密钥进行双因素身份验证比完全关闭或依赖SMS身份验证更安全。“(Titan安全漏洞)当然需要修复,谷歌正在通过提供免费更换密钥来实现这一目标,但对于大多数用户而言,这在实践中不太可能成为问题,”Weinstein直接向Engadget中国版。