Mivercon Security Forum

Volledige versie: Google laat Titan-beveiligingssleutel wegens lek vervangen
U bekijkt momenteel een uitgeklede versie van ons materiaal. De volledige versie met bijbehorende opmaak weergeven.
Google heeft eigenaren van een bluetooth Titan-beveiligingssleutel gewaarschuwd voor een kwetsbaarheid waardoor een aanvaller in de buurt er misbruik van kan maken. Gebruikers kunnen hun exemplaar kosteloos inruilen voor een nieuwe versie.

De Titan-beveiligingssleutel fungeert als een tweede factor tijdens het inloggen en biedt volgens de internetgigant de beste bescherming tegen phishing. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast werkt de beveiligingssleutel alleen op de website waarvoor de geregistreerd is.

Door een misconfiguratie in het bluetooth-pairingprotocol van de beveiligingssleutel is het mogelijk voor een aanvaller die in de buurt van een doelwit is om met de sleutel te communiceren of te communiceren met het apparaat waarmee de sleutel is gepaird. De aanvaller zou moeten toeslaan op het moment dat de gebruiker zijn sleutel met een apparaat pairt of wanneer hij op een account wil inloggen.

Volgens Google raakt de kwetsbaarheid niet de primaire functie van de beveiligingssleutel, namelijk het beschermen tegen phishing. Gebruikers krijgen dan ook het advies om hun Titan-beveiligingssleutel te blijven gebruiken terwijl het vervangende exemplaar onderweg is. Verder wordt gebruikers aangeraden om hun sleutel alleen in een privéruimte te gebruiken waar een aanvaller niet in de buurt kan zijn. Het gaat dan om een afstand van maximaal 9 meter. Via deze website is een vervangend exemplaar aan te vragen.

bron: security.nl
Koppelingen