Googlen viime heinäkuussa esittelemistä Titan-laiteavaimista on paljastunut vakava heikkous turvallisuudessa. Google korvaa veloituksetta kaikki asiakkaille toimitetut turvattomat avaimet tämän takia uusilla.
Kaksivaiheisessa tunnistautumisessa turva-avaimella kirjautuminen pitää käyttäjänimen ja salasanan lisäksi vahvistaa fyysisellä laiteavaimella.
Googlen mukaan virhe Titan-laitevainten Bluetooth-paritusprotokollissa olevat puutteet mahdollistavat lähelle, noin 10 metrin etäisyydelle laiteavaimesta pääsevälle hyökkääjälle avaimen kanssa kommunikoinnin sekä kommunikoinnin laitteen kanssa, jonka kanssa avain on paritettu.
MAINOS (ARTIKKELI JATKUU ALLA)
Ongelma koskee ainoastaan akulla varustettua, langattomasti toimivaa versiota Titan-laiteavaimesta. Suoraan USB-liitännän kautta toimiva laiteavain on siis turvallinen.
”Kun yrität kirjautua tilille laitteellasi, sinua pyydetään normaalisti painamaan näppäintä Bluetooth-turva-avaimessasi sen aktivoimiseksi. Lähellä oleva hyökkääjä voi sillä hetkellä potentiaalisesti kytkeä oman laitteensa haavoittuvuudesta kärsivään turva-avaimeen ennen kuin oma laitteesi yhdistyy. Tässä tapauksessa hyökkääjä voi kirjautua tilillesi omalla laitteellaan, jos heillä olisi tiedossa käyttäjänimesi sekä salasanasi ja he onnistuisivat ajoittamaan nämä tapahtumat oikealla tavalla”, Google selittää.
Kyseessä on siis erittäin vaikeasta hyökkäyksestä, mutta samanaikaisesti tulee muistaa, että laiteavain tehty juuri turvallisuutta parantamaan ja nyt avaimista paljastunut puute on poistanut osittain avaimen tarjoaman lisäturvan.
MAINOS (ARTIKKELI JATKUU ALLA)
Turvallisuuspuute koskee laitevaimia, joista löytyy merkintä T1 tai T2. Google on avannut verkkosivun, jonka kautta voi tilata oman avaimensa tilalle uuden, turvallisen avaimen.
Lisäksi Applen iOS 12.3 -päivityksessä puutteista kärsivien turva-avainten paritukset puretaan automaattisesti, kuten myös Androidin kesäkuun tietoturvakorjausten yhteydessä.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »