侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

谷歌藍(lán)牙密鑰爆安全漏洞 其承諾為用戶(hù)免費(fèi)更換

據(jù)外媒報(bào)道,近日曝光了谷歌Titan藍(lán)牙安全密鑰中的一個(gè)漏洞,該漏洞可能會(huì)使接近該密鑰現(xiàn)實(shí)位置的攻擊者成功破壞其安全性。

該公司表示,該漏洞是由于“Titan安全密鑰的藍(lán)牙配對(duì)協(xié)議配置錯(cuò)誤”造成的,即使是有故障的密鑰也能抵御網(wǎng)絡(luò)釣魚(yú)的攻擊。

不過(guò),該公司仍在為所有現(xiàn)有用戶(hù)提供免費(fèi)的密鑰更換,這個(gè)漏洞會(huì)影響到所有Titan藍(lán)牙密鑰。該密鑰售價(jià)50美元,包括一個(gè)標(biāo)準(zhǔn)USB/NFC,背面印有“T1”或“T2”的標(biāo)識(shí)。

谷歌藍(lán)牙密鑰爆安全漏洞 其承諾為用戶(hù)免費(fèi)更換

想要利用這個(gè)漏洞,攻擊者必須在藍(lán)牙范圍以?xún)?nèi),并且在用戶(hù)按下按鍵激活時(shí)迅速行動(dòng)。然后,攻擊者可以使用錯(cuò)誤配置的協(xié)議在用戶(hù)自己的設(shè)備連接之前將自己的設(shè)備連接到密鑰。這樣,他們可以獲得用戶(hù)的賬號(hào)和密碼,繼而登錄賬戶(hù)。

谷歌還指出,在使用密鑰之前,它必須與用戶(hù)的設(shè)備配對(duì)。攻擊者還可能通過(guò)使用自己的設(shè)備偽裝成安全密鑰,以便在用戶(hù)開(kāi)始配對(duì)時(shí)連接到設(shè)備。通過(guò)這樣做,攻擊者可以將他們的設(shè)備作為鍵盤(pán)或鼠標(biāo),遠(yuǎn)程控制用戶(hù)的筆記本電腦。

雖然所有這一切動(dòng)作都必須在恰當(dāng)?shù)臅r(shí)間行動(dòng),并且攻擊者必須已經(jīng)知道用戶(hù)的證書(shū)憑證。但是,一個(gè)專(zhuān)業(yè)的黑客可以輕松做到這一點(diǎn)。

谷歌辯稱(chēng),這個(gè)問(wèn)題不會(huì)影響Titan密鑰的主要任務(wù),即防止網(wǎng)絡(luò)釣魚(yú)攻擊!笆褂檬苡绊懙拿荑比不適用還要更加安全,安全密鑰是目前可用的最強(qiáng)大的網(wǎng)絡(luò)釣魚(yú)保護(hù)措施,”該公司在今天的公告中寫(xiě)道。

谷歌在安全密鑰領(lǐng)域的一些競(jìng)爭(zhēng)對(duì)手,包括Yubico,由于潛在的安全問(wèn)題決定不使用藍(lán)牙,并批評(píng)谷歌發(fā)布了藍(lán)牙密鑰。

谷歌藍(lán)牙密鑰爆安全漏洞 其承諾為用戶(hù)免費(fèi)更換

當(dāng)谷歌發(fā)布其Titan密鑰時(shí),Yubico創(chuàng)始人Stina Ehrensvard寫(xiě)道:“雖然Yubico之前啟動(dòng)了BLE安全密鑰的開(kāi)發(fā),并為BLE U2F標(biāo)準(zhǔn)的工作做出了貢獻(xiàn),但我們決定不推出該產(chǎn)品,因?yàn)樗环衔覀兊陌踩、可用性和耐用性?biāo)準(zhǔn)!

聲明: 本文由入駐維科號(hào)的作者撰寫(xiě),觀點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權(quán)或其他問(wèn)題,請(qǐng)聯(lián)系舉報(bào)。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)