Titan藍牙硬體金鑰有安全漏洞，Google將免費換新

Google去年開賣的藍牙版本Titan硬體金鑰裝置發現有安全漏洞，可使攻擊者登入用戶帳號或接管裝置，Google周三（5月15日）宣布將回收並提供消費者免費換新。

Titan安全金鑰為Google自有開發的FIDO2硬體金鑰，號稱提供比一次性簡訊密碼更安全的雙因素驗證（2FA），防止Google用戶遭受網釣攻擊騙取帳密。它有BLE（Bluetooth Low Energy）及USB版本，售價皆為50美元。

Google發現美國地區銷售的BLE版Titan安全金鑰有項漏洞。該漏洞出於Titan安全金鑰的藍牙配對協定的組態錯誤，可能讓位於用戶周遭約30呎（約9公尺）的攻擊者在配對過程中，和用戶的Titan BLE金鑰或裝置發生互動。在前者情況中，當使用者在其裝置上準備登入帳號時，會被要求按下BLE金鑰上的按鈕，這時攻擊者可搶先以其裝置連接BLE金鑰，而如果他剛好有用戶帳戶名稱及密碼，即可登入用戶帳號。後者情況下，用戶BLE金鑰配對自己的裝置、並按下金鑰上的按鈕時，駭客可以其裝置冒充BLE金鑰而連上用戶裝置。之後駭客將裝置偽裝成藍牙鍵盤或滑鼠，即可在受害者裝置上輸入或做任何事情。

競爭廠商Yubico執行長Stina Ehrensvard，去年在Titan上市時即曾提及BLE的安全性不如USB和NFC，並指出基於安全性及可使用性問題，該公司不推出BLE版本產品。

Titan金鑰產品的這項漏洞僅影響BLE版，USB版不受影響。BLE版用戶可檢查金鑰背後，有T1和T2 序號者就代表中標，符合免費更換的資格。

Google最後提醒，漏洞問題並不會損及安全登入的主要功能，所以即使用戶中標，也應持續使用，以便在等候更新期間確保免於釣魚攻擊，並且不要擅自關閉兩步驟驗證或降級到較不安全的保護機制，如簡訊密碼。