Chave de Segurança Titan,Vulnerável a ataque em Bluetooth

Publicado por Igor Matsunaga em

Chaves de Segurança Titan vulneráveis

O Google anunciou na quarta-feira que está oferecendo um substituto gratuito para seus dongles Titan Security Key após a descoberta de uma vulnerabilidade potencialmente grave.

chave de segurança Titan foi projetada para ajudar os usuários a se protegerem contra ataques de phishing e controle de conta usando os padrões FIDO para autenticação de dois fatores (2FA). O produto usa criptografia para verificar a chave de segurança e o endereço do usuário quando eles fazem login em sua conta.

Os protocolos de emparelhamento Bluetooth configurados incorretamente nas Chaves de segurança Titan, do Google, podem permitir que invasores se comuniquem com a chave de segurança dos usuários ou com o dispositivo com o qual a chave está emparelhada, avisou o Google.

O problema afeta a versão Bluetooth Low Energy (BLE) das chaves de segurança Titan T1 e T2; As chaves de segurança USB e NFC não são afetadas. O Google configurou uma página na qual os usuários são informados se têm ou não alguma chave de segurança afetada conectada à conta do Google.

O Google diz que o problema de segurança afeta apenas as versões Bluetooth do dispositivo 2FA vendido nos EUA.

Qual é o problema?

A exploração do erro de configuração depende de quão perto o atacante está do alvo e de quão bem eles podem coordenar certas ações.

“Quando você está tentando fazer login em uma conta no seu dispositivo, normalmente é solicitado que você pressione o botão na sua chave de segurança do BLE para ativá-la. Um invasor em proximidade física próxima nesse momento pode, potencialmente, conectar seu próprio dispositivo à sua chave de segurança afetada antes que seu próprio dispositivo se conecte. Nesse conjunto de circunstâncias, o invasor pode entrar em sua conta usando seu próprio dispositivo, se o invasor já tiver obtido seu nome de usuário e senha, e poderá cronometrar esses eventos com exatidão ”, explicou o Google.

“Antes de poder usar sua chave de segurança, ela deve ser emparelhada com o seu dispositivo. Uma vez emparelhado, um invasor que estiver próximo fisicamente a você poderá usar o dispositivo para se disfarçar como sua chave de segurança afetada e se conectar ao seu dispositivo no momento em que você for solicitado a pressionar o botão da sua chave. Depois disso, eles podem tentar alterar o dispositivo para aparecer como um teclado ou mouse Bluetooth e possivelmente executar ações no dispositivo. ”

A proximidade que o Google está se referindo é de 9 metros ou menos.

Mas, a empresa observa, o problema de segurança não afeta o objetivo principal das chaves de segurança: proteção contra phishing por um invasor remoto. Ainda assim, até a chegada da chave de substituição, eles podem minimizar o risco de comprometimento usando a chave a uma distância segura de invasores em potencial e desemparelhando a chave depois de fazer login na conta do Google (instruções detalhadas para usuários do iOS e Android estão disponíveis aqui ).

Mark Miller, diretor de suporte de segurança da empresa na Venafi, observou que esse erro de configuração parece relativamente fácil de explorar.

“O fato de você estar dentro de um raio de 30 pés da chave de segurança não é um problema, especialmente quando você considera a rapidez com que o software compilado e o script podem ser executados. Além disso, muitas pessoas realizam negócios em locais públicos como cafeterias e aeroportos, então conectar um dongle a um dispositivo não é tão improvável ”, ressaltou.

“Do ponto de vista da tecnologia, essas chaves são incríveis; eles tornam a segurança mais fácil de consumir. No entanto, não existe uma tecnologia perfeita, por isso fico feliz que o Google esteja tomando a iniciativa e recuperando essas chaves. ”

Você precisa pedir uma substituição de chave?

O problema de configuração incorreta não afeta as chaves de segurança USB ou NFC, apenas a versão BLE das chaves de segurança Titan. Aqueles que têm “T1” ou “T2” em suas costas:

Chaves de Segurança Titan vulneráveis

Ele também afeta as chaves de segurança Feitian BLE.

A maneira mais fácil de os usuários verificarem se sua chave é afetada é visitando esta página .

O Google substituirá as chaves dos usuários do Titan Security Key, enquanto a Feitian fará o mesmo para os usuários que usam chaves de segurança que não são da marca Google.

O Google oferece os seguintes conselhos aos usuários de iOS e Android:

dispositivos iOS:

Nos dispositivos que executam a versão 12.2 ou anterior do iOS,  recomendamos o uso da chave de segurança afetada em um local privado, onde um invasor em potencial não esteja próximo a uma proximidade física (aproximadamente 30 pés). Depois de usar sua chave para fazer login na sua Conta do Google em seu dispositivo, desmarque-a imediatamente  . Você pode usar sua chave dessa maneira novamente enquanto aguarda sua substituição, até atualizar para o iOS 12.3.

Depois de atualizar para o iOS 12.3 , sua chave de segurança afetada não funcionará mais. Você não poderá usar sua chave afetada para fazer login na sua Conta do Google ou em qualquer outra conta protegida pela chave, e precisará solicitar uma chave de substituição. Se você já estiver conectado à sua Conta do Google no seu dispositivo iOS, não saia porque você não poderá fazer login novamente até obter uma nova chave. Se você não tiver acesso à sua Conta do Google no seu dispositivo iOS antes da chegada da chave de substituição, consulte  estas instruções  para voltar à sua conta. Observe que você pode continuar a fazer login na sua Conta do Google em dispositivos não iOS.

No Android e em outros dispositivos:

Recomendamos que você use a chave de segurança afetada em um local privado, onde um invasor em potencial não esteja próximo a uma proximidade física (aproximadamente 30 pés). Depois de usar sua chave de segurança afetada para fazer login na sua Conta do Google, desmarque-a imediatamente  . Os dispositivos Android atualizados com o próximo SPL (Security Patch Level, nível de correção de segurança) de junho de 2019 serão automaticamente desemparelhados para os dispositivos Bluetooth afetados, portanto, você não precisará desemparelhar manualmente. Você também pode continuar usando as chaves de segurança USB ou NFC, que são compatíveis com Android e não são afetadas por esse problema.

Que a segurança esteja com você!


Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking a mais de 6 anos, hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *