5 月 16 日消息��,據(jù)外媒報道�����,谷歌日前披露了其藍(lán)牙 Titan 安全密鑰存在的兩個安全漏洞��,并承諾為用戶免費(fèi)更換它們����。
谷歌宣稱,“Titan 安全密鑰的藍(lán)牙匹配協(xié)議中存在配置錯誤”���,可能允許黑客侵入用戶的帳戶或設(shè)備���,盡管這種情況只會在幾種特定(且特別難以實(shí)現(xiàn))的情況下實(shí)現(xiàn)。
谷歌表示����,今天的披露是一種協(xié)調(diào)行動,因?yàn)樨?fù)責(zé)生產(chǎn)這種受影響產(chǎn)品的飛天公司(Feitian)同時也在披露這一問題�����。后者今天也披露了同樣的安全漏洞,并承諾為其用戶提供更換服務(wù)�����。飛天公司為谷歌生產(chǎn) Titan 密匙����,同時也以自己的品牌銷售密鑰。谷歌稱��,微軟最初發(fā)現(xiàn)了這個漏洞���,并向飛天公司報告了其發(fā)現(xiàn)�。
長期以來���,谷歌一直是兩步認(rèn)證機(jī)制(2FA)的領(lǐng)先者��。特別是,該公司始終在推銷其 Titan 安全密鑰�,稱其是更安全的方式,使 2FA 比身份驗(yàn)證應(yīng)用更簡單易用����。谷歌在這方面沒有做錯��,但考慮到它的目的是提供更高級別的安全保護(hù)�,其對任何潛在的安全漏洞都將進(jìn)行更高級別的審查����。
谷歌披露了兩個漏洞。第一����,當(dāng)用戶按下登錄身份驗(yàn)證按鈕時,如果黑客在其密鑰 10 米左右的 Bluetooth Low Energy 范圍內(nèi)���,他們就可以將其設(shè)備與用戶的安全密鑰相連���。如果他們獲取用戶的密碼,他們就可以進(jìn)入起帳戶��。
第二種可能的情況是����,當(dāng)用戶第一次配對密鑰時,黑客可以“偽裝成受影響的安全密鑰并連接到其設(shè)備”���,然后在用戶的設(shè)備上執(zhí)行與其他藍(lán)牙設(shè)備相同的操作��,例如充當(dāng)鍵盤或鼠標(biāo)��。
因此�,黑客需要知道這些漏洞,擁有能夠利用該漏洞的軟件�����,并需要在正確的時間執(zhí)行攻擊���。不過���,這是一系列不太可能發(fā)生的事件,但像 Titan 這樣的物理安全鑰匙需要達(dá)到更高的標(biāo)準(zhǔn)���,才能確保人們的信任��。
在線身份保護(hù)設(shè)備領(lǐng)先提供商 Yubico 的創(chuàng)始人曾批評谷歌推出了 BLE 密鑰���,因?yàn)槠湔J(rèn)為這種設(shè)備不會像 USB 或 NFC 那樣安全。谷歌披露的 Titan 安全密鑰藍(lán)牙漏洞并不影響最近推出的��、使用安卓手機(jī)作為物理安全密鑰的能力�����。這種方法并不像 Titan 和飛天密匙那樣依賴藍(lán)牙配對����。
如果用戶的 Titan 密匙上有“T1”或“T2”字樣 ,就有資格要求免費(fèi)更換��。谷歌建議用戶繼續(xù)使用自己的安全密鑰����,它仍然可能比其他兩步驗(yàn)證方法更安全,而且絕對比不使用兩步驗(yàn)證更安全���。
?�。?a href="http://www.nasamidwest.com/city/wuan/">武安網(wǎng)站建設(shè))
