Kelemahan Bluetooth Ditemukan di Kunci Keamanan Google Titan; Dapatkan Penggantian Gratis - Otak Kita

Kelemahan Bluetooth Ditemukan di Kunci Keamanan Google Titan; Dapatkan Penggantian Gratis


Otak Kita - Sebuah tim peneliti keamanan di Microsoft menemukan potensi kerentanan serius dalam versi Google yang didukung Kunci Keamanan Titan Google yang tidak dapat ditambal dengan pembaruan perangkat lunak.

Namun, pengguna tidak perlu khawatir karena Google telah mengumumkan untuk menawarkan penggantian gratis untuk dongle Kunci Keamanan Titan yang terpengaruh.

Dalam sebuah penasehat keamanan yang diterbitkan Rabu, Google mengatakan "kesalahan konfigurasi dalam protokol pemasangan Bluetooth Titan Keys" dapat memungkinkan penyerang yang secara fisik dekat dengan Kunci Keamanan Anda (~ dalam 30 kaki) untuk berkomunikasi dengan itu atau perangkat tempat kunci Anda dipasangkan.

Diluncurkan oleh Google pada bulan Agustus tahun lalu, Titan Security Key adalah perangkat USB kecil berbiaya rendah yang menawarkan otentikasi dua faktor (2FA) berbasis perangkat keras untuk akun online dengan tingkat perlindungan tertinggi terhadap serangan phishing.

Kunci Keamanan Titan, yang dijual seharga $ 50 di Google Store, mencakup dua kunci — kunci keamanan USB-A dengan NFC, dan kunci Bluetooth / NFC yang dilengkapi baterai Micro-USB — untuk otentikasi dua faktor yang aman.

Menurut Google, kerentanan hanya mempengaruhi versi BLE dari Titan Security Keys yang memiliki tanda "T1" atau "T2" di belakangnya, dan kunci keamanan non-Bluetooth lainnya, versi yang didukung USB atau NFC, aman untuk digunakan .

Inilah skenario serangan Manajer Produk Google Cloud Christiaan Brand yang dijelaskan dalam posting blog :

    "Ketika Anda mencoba masuk ke akun di perangkat Anda, Anda biasanya diminta untuk menekan tombol pada kunci keamanan BLE Anda untuk mengaktifkannya. Seorang penyerang yang berada dalam jarak dekat secara fisik pada saat itu berpotensi dapat menghubungkan perangkat mereka sendiri ke kunci keamanan Anda yang terpengaruh sebelum perangkat Anda terhubung. Dalam keadaan seperti ini, penyerang dapat masuk ke akun Anda menggunakan perangkat mereka sendiri jika penyerang entah bagaimana sudah mendapatkan nama pengguna dan kata sandi Anda dan dapat menentukan waktu kejadian ini dengan tepat. "


    "Sebelum Anda dapat menggunakan kunci keamanan Anda, itu harus dipasangkan ke perangkat Anda. Setelah dipasangkan, seorang penyerang yang dekat secara fisik dengan Anda dapat menggunakan perangkat mereka untuk menyamar sebagai kunci keamanan Anda yang terkena dampak dan terhubung ke perangkat Anda pada saat Anda diminta untuk menekan tombol pada kunci Anda. Setelah itu, mereka dapat mencoba mengubah perangkat mereka agar muncul sebagai keyboard atau mouse Bluetooth dan berpotensi mengambil tindakan pada perangkat Anda. "


Microsoft awalnya menemukan kerentanan dan mengungkapkannya ke Google, serta Feitian, perusahaan yang membuat Titan Keys untuk Google dan juga menjual produk yang sama (ePass) di bawah merek sendiri.

Feitian juga membuat pengungkapan terkoordinasi tentang kerentanan ini pada hari yang sama dengan Google dan menawarkan program penggantian gratis untuk penggunanya.

Karena masalah ini hanya memengaruhi protokol penyandingan Bluetooth Low Energy dan bukan keamanan kriptografis dari kunci itu sendiri, Google merekomendasikan pengguna yang terpengaruh untuk terus menggunakan kunci yang ada sampai mereka mendapatkan penggantian.

Google juga mengatakan bahwa kunci keamanan Bluetooth masih lebih aman daripada mematikannya sama sekali atau mengandalkan metode otentikasi dua faktor lainnya seperti SMS atau panggilan telepon.

Namun, akan lebih baik jika Anda mengambil beberapa tindakan tambahan saat menggunakan kunci keamanan, seperti menggunakannya hanya di tempat pribadi dan segera memutus hubungan mereka.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel