falla de Bluetooth encontrada en las llaves de seguridad Google Titan; Obtenga reemplazo gratis

llave de seguridad titan de google bluetooth

Un equipo de investigadores de seguridad de Microsoft descubrió una vulnerabilidad potencialmente grave en la versión compatible con Bluetooth de Titan Security Keys de Google que no se podía reparar con una actualización de software.

Sin embargo, los usuarios no deben preocuparse, ya que Google ha anunciado que ofrecerá un reemplazo gratuito para los dongles Titan Security Key afectados.

En un aviso de seguridad publicado el miércoles, Google dijo que una «configuración incorrecta en los protocolos de emparejamiento de Bluetooth de las llaves de seguridad Titan» podría permitir que un atacante que esté físicamente cerca de su llave de seguridad (~ dentro de 30 pies) se comunique con ella o con el dispositivo al que pertenece su llave. está emparejado.

Lanzado por Google en agosto del año pasado, Titan Security Key es un pequeño dispositivo USB de bajo costo que ofrece autenticación de dos factores (2FA) basada en hardware para cuentas en línea con el más alto nivel de protección contra ataques de phishing.

Titan Security Key, que se vende por $ 50 en Google Store, incluye dos llaves: una llave de seguridad USB-A con NFC y una llave Bluetooth / NFC equipada con Micro-USB y alimentada por batería, para una autenticación segura de dos factores.

Según Google, la vulnerabilidad solo afecta a la versión BLE de las llaves de seguridad Titan que tienen un signo «T1» o «T2» en la parte posterior, y otras llaves de seguridad que no son Bluetooth, versiones compatibles con USB o NFC, son seguras de usar. .

Estos son los escenarios de ataque que Christiaan Brand, gerente de productos de Google Cloud, describió en una publicación de blog:

«Cuando intenta iniciar sesión en una cuenta en su dispositivo, normalmente se le pide que presione el botón en su clave de seguridad BLE para activarla. Un atacante en proximidad física en ese momento puede potencialmente conectar su propio dispositivo a su clave de seguridad afectada antes de que su propio dispositivo se conecte. En este conjunto de circunstancias, el atacante podría iniciar sesión en su cuenta usando su propio dispositivo si el atacante de alguna manera ya obtuvo su nombre de usuario y contraseña y pudo cronometrar estos eventos exactamente «.

«Antes de que pueda usar su clave de seguridad, debe estar emparejada con su dispositivo. Una vez emparejada, un atacante que se encuentre físicamente cerca de usted podría usar su dispositivo para hacerse pasar por su clave de seguridad afectada y conectarse a su dispositivo en el momento en que se le solicite. para presionar el botón en su llave. Después de eso, podrían intentar cambiar su dispositivo para que aparezca como un teclado o mouse Bluetooth y potencialmente tomar acciones en su dispositivo «.

Microsoft descubrió originalmente la vulnerabilidad y se la reveló a Google, así como a Feitian, la compañía que fabrica Titan Keys para Google y también vende el mismo producto (ePass) bajo su propia marca.

Feitian también hizo una divulgación coordinada sobre esta vulnerabilidad el mismo día que Google y ofrece un programa de reemplazo gratuito para sus usuarios.

Dado que el problema solo afecta el protocolo de emparejamiento Bluetooth Low Energy y no la seguridad criptográfica de la clave en sí, Google recomienda a los usuarios afectados que continúen usando sus claves existentes hasta que obtengan un reemplazo.

Google también dice que la clave de seguridad de Bluetooth es aún más segura que apagarla por completo o confiar en otros métodos de autenticación de dos factores como SMS o llamadas telefónicas.

Sin embargo, sería mejor si toma algunas medidas adicionales mientras usa las llaves de seguridad, como usarlas solo en un lugar privado y desvincularlas de inmediato.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática