Início » Antivírus e Segurança » Google faz recall de chave de segurança devido a falha de segurança

Google faz recall de chave de segurança devido a falha de segurança

Titan Security Key, para autenticação de dois fatores, tem falha na versão Bluetooth; Google vai trocar chaves de segurança

Felipe Ventura Por

O Google lançou a Titan Security Key no ano passado, chave de segurança em versões USB e Bluetooth para autenticação de dois fatores mais segura. No entanto, a empresa anunciou um recall do produto nesta quarta-feira (15) devido a uma falha de segurança no Bluetooth; os clientes poderão trocá-lo por um novo gratuitamente.

Titan Security Key, do Google, nos modelos Bluetooth (à esquerda) e USB

Existem dois modelos da Titan Security Key: um deles se conecta via USB, enquanto o outro vem somente com Bluetooth para dispositivos móveis. Quando você faz login, precisa pressionar um botão na chave de segurança Bluetooth como parte da verificação em duas etapas.

No entanto, o Google descobriu que o protocolo de emparelhamento Bluetooth da Titan Security Key está configurado incorretamente. Isso permite que um invasor próximo ao usuário se comunique com a chave de segurança, ou com o dispositivo ao qual ela está emparelhada.

Esse ataque seria bem difícil de ocorrer, mas seria possível. Existem dois cenários: no primeiro deles, o invasor já tem seu nome de usuário e senha, está a uma distância de até 9 metros (que corresponde ao alcance do Bluetooth), e se conecta à chave de segurança no exato momento em você pressiona o botão. Dessa forma, ele consegue fazer login.

No segundo cenário, o invasor pode usar um dispositivo Bluetooth que finge ser a Titan Security Key. Quando você pressiona o botão, seu celular se conecta ao dispositivo errado, e fica suscetível a ser controlado remotamente.

Modelos T1 e T2 da Titan Security Key são vulneráveis e participam do recall

Bluetooth “não fornece segurança do NFC e do USB”

A Titan Security Key vulnerável não funciona no iOS 12.3, versão mais recente da Apple. No iOS 12.2 e anterior, Android e outros sistemas operacionais, o Google recomenda usar a chave em um local privado e desativar o pareamento logo após fazer login.

Para receber uma chave nova, sem a falha do Bluetooth, basta visitar google.com/replacemykey. O modelo USB da Titan Security Key não é vulnerável.

Vale notar que, no ano passado, a concorrente Yubico disse que não faz chaves Bluetooth porque a tecnologia “não fornece os níveis de garantia de segurança do NFC e do USB; além de exigir baterias e pareamento, oferecendo uma experiência ruim ao usuário”.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

LekyChan

não, veio num envelope comum dos correios americanos, era até exagerado de tão grande kkkk

Jairo ☠️

A vá .... Google é falha de segurança na mesma frase...........normal.

LekyChan

comprei o meu direto do site, só que o meu é a versão 4 e 45 dollares foi oque paguei na época já com o frete, deu uma aumentada de preço ele na versão 5.

Franco Luiz

Google faz recall de chave de segurança devido a falha de segurança https://uploads.disquscdn.c...

uB.

Tenho essa versão básica via USB (mas é um modelo antigo) e funciona perfeitamente no celular, basta usar um adaptador usb-c. Isto é delícia demais <3

LekyChan

fiz bem em ir de YubiKey

Gabriel P B

delicia de titulo