【烽巢網(wǎng)】谷歌發(fā)布了一份針對(duì)其藍(lán)牙巨頭安全密鑰的安全建議，該建議嚴(yán)重到足以讓谷歌免費(fèi)更換這些密鑰。該公司表示，“泰坦安全密鑰的藍(lán)牙配對(duì)協(xié)議存在一個(gè)錯(cuò)誤配置”，這可能會(huì)讓攻擊者進(jìn)入你的賬戶(hù)或設(shè)備——盡管只有在一些特定的情況下(而且很難實(shí)現(xiàn))。該公司告訴我們，今天的新聞是一個(gè)協(xié)調(diào)的披露——這意味著，在一定程度上，生產(chǎn)受影響產(chǎn)品的公司同時(shí)披露了這個(gè)問(wèn)題。飛天公司生產(chǎn)谷歌的泰坦密鑰，但也以自己的品牌銷(xiāo)售密鑰。該公司今天披露了同樣的漏洞，并為用戶(hù)提供了一個(gè)替換程序。

谷歌說(shuō)，微軟最初發(fā)現(xiàn)了這個(gè)漏洞，并向生產(chǎn)受影響產(chǎn)品的公司披露了它。

谷歌長(zhǎng)期以來(lái)一直引領(lǐng)著雙因素認(rèn)證(2FA)的潮流。尤其值得一提的是，比起簡(jiǎn)單的認(rèn)證應(yīng)用程序(或者更糟糕的短信)，它一直在推動(dòng)它的Titan安全密鑰作為一種更安全的方式來(lái)啟用2FA。谷歌在這一點(diǎn)上并沒(méi)有錯(cuò)，但是考慮到它的目的是提供更高級(jí)別的安全性，對(duì)任何潛在的安全漏洞都將進(jìn)行更高級(jí)別的檢查。

相關(guān)的

用于雙因素身份驗(yàn)證的最佳硬件安全密鑰
谷歌披露了兩個(gè)漏洞。首先，如果攻擊者在您按下按鈕驗(yàn)證登錄時(shí)處于您密鑰的30英尺藍(lán)牙低能量范圍內(nèi)，那么他們可以將自己的設(shè)備連接到您的安全密鑰。如果他們有你的密碼，他們就可以進(jìn)入你的賬戶(hù)。第二個(gè)可能的情況是,當(dāng)你對(duì)一個(gè)關(guān)鍵的第一次,攻擊者可以“冒充你的影響安全關(guān)鍵和連接到你的設(shè)備,”然后做同樣的事情在你的設(shè)備,其他藍(lán)牙設(shè)備,如鍵盤(pán)或鼠標(biāo)。

因此:攻擊者需要意識(shí)到這個(gè)漏洞，讓軟件能夠利用它，并且需要在正確的時(shí)間執(zhí)行攻擊。這是一系列不太可能的事件，但是像泰坦這樣的物理安全密鑰需要達(dá)到更高的標(biāo)準(zhǔn)，才能保持人們的信任。

正如TechCrunch指出的，Yubico的創(chuàng)始人批評(píng)谷歌推出BLE密鑰，因?yàn)樗J(rèn)為它不會(huì)像USB或NFC那樣安全。谷歌披露的泰坦安全密鑰藍(lán)牙漏洞并不影響最近發(fā)布的使用Android手機(jī)作為物理安全密鑰的能力。這種方法不像泰坦和飛天密鑰那樣依賴(lài)藍(lán)牙配對(duì)。

如果你的泰坦密鑰上有一個(gè)“T1”或“T2”，你就有資格換一個(gè)。這似乎是顯而易見(jiàn)的，但是這些FIDO密鑰被設(shè)計(jì)成不能作為軟件升級(jí)的安全措施。在您等待它到達(dá)時(shí)，谷歌建議您繼續(xù)使用您的安全密鑰。它仍然可能比其他2FA方法更安全，而且絕對(duì)比完全不使用2FA更安全。