Μία ευπάθεια στο Bluetooth Low Energy (BLE) Titan Security Key, το οποίο παρέχει επαλήθευση δύο παραγόντων για την πρόσβαση σε λογαριασμούς Google, έχει σαν αποτέλεσμα μερικοί χρήστες iOS να μην έχουν πρόσβαση στους λογαριασμούς τους. Ο Christiaan Brand, product manager στο Google Cloud, γράφοντας στο Google Security Blog, ανακοίνωσε χθες ότι “λόγω μιας λανθασμένης ρύθμισης στα πρωτόκολλα αντιστοίχισης Bluetooth Titan Security Keys, είναι δυνατό για έναν εισβολέα που βρίσκεται κοντά σας τη στιγμή που χρησιμοποιείτε το κλειδί ασφαλείας, να επικοινωνήσει με το κλειδί ασφαλείας σας ή με τη συσκευή στην οποία έχει αντιστοιχιστεί το κλειδί σας.”
Φυσικά ο επιτιθέμενος θα πρέπει να βρίσκεται πολύ κοντά στο θύμα του και η πραγματοποίηση μιας τέτοιας επίθεσης είναι αρκετά δύσκολη, εκτός εάν ο εισβολέας είχε το όνομα και τον κωδικό πρόσβασής σας. Τα Titan Security Keys χρησιμοποιούνται από το προσωπικό της Google για εσωτερική πρόσβαση και πωλούνται ως συσκευές υλικού επαλήθευσης δύο παραγόντων στο κοινό. Όπως δηλώνει η εταιρεία, το ζήτημα ασφαλείας “δεν επηρεάζει τον πρωταρχικό σκοπό των κλειδιών ασφαλείας, ο οποίος είναι να σας προστατεύσει από έναν απομακρυσμένο εισβολέα” και λέει ότι “είναι πιο ασφαλές να χρησιμοποιήσετε ένα κλειδί που έχει αυτό το ζήτημα, από ότι να απενεργοποιήσετε την επαλήθευση δύο παραγόντων στο λογαριασμό Google σας.”
Ποια κλειδιά επηρεάζονται από την ευπάθεια;
Τα κλειδιά ασφαλείας USB και NFC δεν επηρεάζονται από την προαναφερθείσα ευπάθεια. Εάν όμως χρησιμοποιείτε μια έκδοση BLE του Titan Security Key, πρέπει να ελέγξετε το πίσω μέρος της συσκευής και εάν έχει τυπωμένο T1 ή T2 τότε επηρεάζεται και η Google θα προσφέρει δωρεάν αντικατάστασή της.
Ποιο είναι το πρόβλημα με το iOS 12.3;
Η Google συμβουλεύει τους χρήστες του iOS 12.2 ή προηγούμενης έκδοσης, να χρησιμοποιήσουν απλά το κλειδί “σε ένα ιδιωτικό μέρος όπου ένας δυνητικός εισβολέας δεν βρίσκεται σε κοντινή απόσταση” και στη συνέχεια να το αποσυνδέσουν. Ωστόσο τα πράγματα είναι διαφορετικά για την έκδοση iOS 12.3. Η Google λέει ότι τέτοιοι χρήστες δεν θα μπορούν να χρησιμοποιήσουν το κλειδί για να συνδεθούν σε έναν Λογαριασμό Google ή σε οποιονδήποτε άλλο λογαριασμό που προστατεύεται από το κλειδί. Επιπλέον, η Google επιβεβαιώνει ότι “εάν είστε ήδη συνδεδεμένοι στο Λογαριασμό Google στην iOS συσκευή σας, δεν πρέπει να αποσυνδεθείτε καθώς δεν θα μπορείτε να συνδεθείτε ξανά μέχρι να λάβετε νέο κλειδί”. Αν δεν έχετε πρόσβαση στο λογαριασμό σας, η Google παρέχει οδηγίες για να αποκτήσετε πάλι πρόσβαση σε αυτόν.
Ο Nadir Israel, CTO στην Armis, λέει ότι το Bluetooth είναι ένα περίπλοκο πρωτόκολλο και ότι δεν εκπλήσσεται από το θέμα που προέκυψε. “Αυτή η ευπάθεια υπογραμμίζει τη σπουδαιότητα των ελέγχων για να διασφαλιστεί ότι δεν υπάρχουν ευπάθειες ή λάθος διαμόρφωση κατά την εφαρμογή του πρωτοκόλλου Bluetooth.”
 Titan Security Key, το οποίο παρέχει επαλήθευση δύο παραγόντων για την πρόσβαση σε λογαριασμούς){kind=link}