Titan金鑰產品漏洞僅影響BLE版,USB版不受影響。BLE版用戶可檢查金鑰背後,有T1和T2 序號者就代表中標,符合免費更換的資格。(圖片來源/Google)

Google去年開賣的藍牙版本Titan硬體金鑰裝置發現有安全漏洞,可使攻擊者登入用戶帳號或接管裝置,Google周三(5月15日)宣布將回收並提供消費者免費換新

Titan安全金鑰為Google自有開發的FIDO2硬體金鑰,號稱提供比一次性簡訊密碼更安全的雙因素驗證(2FA),防止Google用戶遭受網釣攻擊騙取帳密。它有BLE(Bluetooth Low Energy)及USB版本,售價皆為50美元。

Google發現美國地區銷售的BLE版Titan安全金鑰有項漏洞。該漏洞出於Titan安全金鑰的藍牙配對協定的組態錯誤,可能讓位於用戶周遭約30呎(約9公尺)的攻擊者在配對過程中,和用戶的Titan BLE金鑰或裝置發生互動。在前者情況中,當使用者在其裝置上準備登入帳號時,會被要求按下BLE金鑰上的按鈕,這時攻擊者可搶先以其裝置連接BLE金鑰,而如果他剛好有用戶帳戶名稱及密碼,即可登入用戶帳號。後者情況下,用戶BLE金鑰配對自己的裝置、並按下金鑰上的按鈕時,駭客可以其裝置冒充BLE金鑰而連上用戶裝置。之後駭客將裝置偽裝成藍牙鍵盤或滑鼠,即可在受害者裝置上輸入或做任何事情。

競爭廠商Yubico執行長Stina Ehrensvard,去年在Titan上市時即曾提及BLE的安全性不如USB和NFC,並指出基於安全性及可使用性問題,該公司不推出BLE版本產品。

Titan金鑰產品的這項漏洞僅影響BLE版,USB版不受影響。BLE版用戶可檢查金鑰背後,有T1和T2 序號者就代表中標,符合免費更換的資格。

Google最後提醒,漏洞問題並不會損及安全登入的主要功能,所以即使用戶中標,也應持續使用,以便在等候更新期間確保免於釣魚攻擊,並且不要擅自關閉兩步驟驗證或降級到較不安全的保護機制,如簡訊密碼。


Advertisement

更多 iThome相關內容