Google ricorda Titan Security Key a causa del rischio di dirottamento

Google ha offerto sostituzioni gratuite ai possessori della versione Bluetooth Low Energy di Titan Security Key, dopo che è stata rilevata una vulnerabilità nel dispositivo.

Google ha introdotto Titan Security Key nella sua convenzione Cloud Next 18 come dispositivo USB fisico che ha eliminato la necessità di inserire nomi utente e password. La chiave di sicurezza è facile da configurare, richiede solo pochi minuti per fornire una migliore protezione dagli attacchi di phishing rispetto ad altri metodi di autenticazione a due fasi.

La tecnologia è stata sviluppata da Google e Yubico, che ha anche contribuito a creare una chiave di sicurezza con un componente Bluetooth Low Energy. Yubico, tuttavia, ha deciso di non rilasciare un prodotto del genere perché non rispettava gli standard dell'azienda in termini di "sicurezza, usabilità e durata" e che non era sicuro come NFC e USB.

La preoccupazione di Yubico si è rivelata fondata ed è esattamente quello che è successo con la versione Bluetooth della Titan Security Key, che viene venduta insieme alla versione USB. Secondo Google, una configurazione errata nei suoi protocolli di accoppiamento Bluetooth consente a un utente malintenzionato di comunicare con la chiave di sicurezza o di comunicare con il dispositivo a cui è associata la chiave di sicurezza.

Il problema è che l'attaccante deve trovarsi a circa 30 piedi dall'obiettivo per sfruttare la vulnerabilità. Inoltre, il processo di sfruttare l'errata configurazione è difficile. Gli hacker devono essere in grado di cronometrare esattamente le cose per connettere il loro dispositivo alla chiave di sicurezza (anche se dovranno conoscere il nome utente e la password del destinatario per accedere all'account della vittima), o per mascherare il loro dispositivo come chiave di sicurezza, per intraprendere azioni sul dispositivo della vittima.

Google ha affermato che la vulnerabilità non influisce sullo scopo principale della Titan Security Key, ovvero proteggere i suoi proprietari dagli attacchi di phishing. La società ha raccomandato l'uso continuato del dispositivo per mantenere tale protezione, ma ha suggerito alle persone di avvalersi delle sostituzioni gratuite se sono idonee a farlo.

La versione interessata di Bluetooth Titan Security Key ha un T1 o T2 sul retro del dispositivo. La sostituzione gratuita può essere richiesta tramite il sito Web dedicato di Google per il ritiro.

• Big phish: il report mostra PayPal, Bank of America, Apple sono i principali obiettivi di phishing
• Controlla le tue porte! I ricercatori trovano vulnerabilità spaventosa negli accessori Thunderbolt
• Le macchine di Mr. Coffee connesse a Internet hanno una vulnerabilità alla sicurezza, afferma McAfee