QR code per la pagina originale

Google, scoperto un bug nella Titan Security Key

Google ha rilevato un bug nella sua Titan Security Key e per questo fornirà delle chiavi di sicurezza sostitutive agli acquirenti.

,

Google ha reso noto un bug nella sua Titan Security Key che potrebbe consentire a un utente malintenzionato non troppo distante dalla chiave per l’autenticazione a due fattori di eludere la sicurezza che questa dovrebbe fornire. La compagnia dice che il bug è dovuto a un “errore di configurazione nei protocolli di riconoscimento Bluetooth nelle Titan Security Key”, ma nonostante questo i token difettosi proteggono dal phishing. Per ogni evenienza, comunque, la società ha deciso di fornire un’unità sostitutiva gratuita a tutti gli utenti che possiedono già una chiave.

Per sfruttare il bug, un utente malintenzionato dovrebbe trovarsi all’interno del raggio coperto dal Bluetooth (circa 9 metri) e agire rapidamente mentre viene premuto il pulsante per attivarlo. A questo punto può utilizzare il protocollo configurato in modo errato per connettere il proprio dispositivo alla chiave prima che il dispositivo del proprietario si colleghi. Così facendo potrebbe accedere all’account dell’utente raggirato.

Google sottolinea inoltre come, prima di poter utilizzare la chiave, questa debba essere abbinata al dispositivo dell’utente. Un malintenzionato potrebbe anche sfruttare il bug in un altro modo, quindi: utilizzando il proprio dispositivo e mascherandolo come chiave di protezione per connettersi al PC/laptop dell’utente quando viene premuto il pulsante sulla Titan Security Key. In questo modo, è possibile modificare il proprio dispositivo in modo funga da tastiera o mouse per controllare da remoto il PC/laptop dell’utente.

Tutto questo deve accadere nel momento esatto, però, e il malintenzionato necessita di conoscere le credenziali dell’utente (chi ha molta esperienza potrebbe riuscire a ottenerle senza troppe difficoltà purtroppo).

Google sostiene che questo problema non influisce sulla missione principale della Titan Security Key, che è quella di proteggere gli utenti dal phishing; sostiene poi che gli acquirenti dovrebbero continuare a utilizzare la chiave di protezione sino a quando non otterranno quella di sostituzione.

Fonte: The Verge • Immagine: Google