Google faz recall de chave de segurança devido a falha de segurança

Titan Security Key, para autenticação de dois fatores, tem falha na versão Bluetooth; Google vai trocar chaves de segurança

Felipe Ventura
• Atualizado há 3 anos
Titan security key google autenticação
Titan Security Key, do Google, nos modelos Bluetooth (à esquerda) e USB

O Google lançou a Titan Security Key no ano passado, chave de segurança em versões USB e Bluetooth para autenticação de dois fatores mais segura. No entanto, a empresa anunciou um recall do produto nesta quarta-feira (15) devido a uma falha de segurança no Bluetooth; os clientes poderão trocá-lo por um novo gratuitamente.

Existem dois modelos da Titan Security Key: um deles se conecta via USB, enquanto o outro vem somente com Bluetooth para dispositivos móveis. Quando você faz login, precisa pressionar um botão na chave de segurança Bluetooth como parte da verificação em duas etapas.

No entanto, o Google descobriu que o protocolo de emparelhamento Bluetooth da Titan Security Key está configurado incorretamente. Isso permite que um invasor próximo ao usuário se comunique com a chave de segurança, ou com o dispositivo ao qual ela está emparelhada.

Esse ataque seria bem difícil de ocorrer, mas seria possível. Existem dois cenários: no primeiro deles, o invasor já tem seu nome de usuário e senha, está a uma distância de até 9 metros (que corresponde ao alcance do Bluetooth), e se conecta à chave de segurança no exato momento em você pressiona o botão. Dessa forma, ele consegue fazer login.

No segundo cenário, o invasor pode usar um dispositivo Bluetooth que finge ser a Titan Security Key. Quando você pressiona o botão, seu celular se conecta ao dispositivo errado, e fica suscetível a ser controlado remotamente.

Modelos T1 e T2 da Titan Security Key são vulneráveis e participam do recall

Bluetooth “não fornece segurança do NFC e do USB”

A Titan Security Key vulnerável não funciona no iOS 12.3, versão mais recente da Apple. No iOS 12.2 e anterior, Android e outros sistemas operacionais, o Google recomenda usar a chave em um local privado e desativar o pareamento logo após fazer login.

Para receber uma chave nova, sem a falha do Bluetooth, basta visitar google.com/replacemykey. O modelo USB da Titan Security Key não é vulnerável.

Vale notar que, no ano passado, a concorrente Yubico disse que não faz chaves Bluetooth porque a tecnologia “não fornece os níveis de garantia de segurança do NFC e do USB; além de exigir baterias e pareamento, oferecendo uma experiência ruim ao usuário”.

Leia | Como usar o Google Authenticator

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.