谷歌藍(lán)牙密鑰爆安全漏洞 其承諾為用戶免費(fèi)更換
據(jù)外媒報(bào)道,近日曝光了谷歌Titan藍(lán)牙安全密鑰中的一個(gè)漏洞,該漏洞可能會使接近該密鑰現(xiàn)實(shí)位置的攻擊者成功破壞其安全性。
該公司表示,該漏洞是由于“Titan安全密鑰的藍(lán)牙配對協(xié)議配置錯誤”造成的,即使是有故障的密鑰也能抵御網(wǎng)絡(luò)釣魚的攻擊。
不過,該公司仍在為所有現(xiàn)有用戶提供免費(fèi)的密鑰更換,這個(gè)漏洞會影響到所有Titan藍(lán)牙密鑰。該密鑰售價(jià)50美元,包括一個(gè)標(biāo)準(zhǔn)USB/NFC,背面印有“T1”或“T2”的標(biāo)識。
想要利用這個(gè)漏洞,攻擊者必須在藍(lán)牙范圍以內(nèi),并且在用戶按下按鍵激活時(shí)迅速行動。然后,攻擊者可以使用錯誤配置的協(xié)議在用戶自己的設(shè)備連接之前將自己的設(shè)備連接到密鑰。這樣,他們可以獲得用戶的賬號和密碼,繼而登錄賬戶。
谷歌還指出,在使用密鑰之前,它必須與用戶的設(shè)備配對。攻擊者還可能通過使用自己的設(shè)備偽裝成安全密鑰,以便在用戶開始配對時(shí)連接到設(shè)備。通過這樣做,攻擊者可以將他們的設(shè)備作為鍵盤或鼠標(biāo),遠(yuǎn)程控制用戶的筆記本電腦。
雖然所有這一切動作都必須在恰當(dāng)?shù)臅r(shí)間行動,并且攻擊者必須已經(jīng)知道用戶的證書憑證。但是,一個(gè)專業(yè)的黑客可以輕松做到這一點(diǎn)。
谷歌辯稱,這個(gè)問題不會影響Titan密鑰的主要任務(wù),即防止網(wǎng)絡(luò)釣魚攻擊。“使用受影響的密鑰比不適用還要更加安全,安全密鑰是目前可用的最強(qiáng)大的網(wǎng)絡(luò)釣魚保護(hù)措施,”該公司在今天的公告中寫道。
谷歌在安全密鑰領(lǐng)域的一些競爭對手,包括Yubico,由于潛在的安全問題決定不使用藍(lán)牙,并批評谷歌發(fā)布了藍(lán)牙密鑰。
當(dāng)谷歌發(fā)布其Titan密鑰時(shí),Yubico創(chuàng)始人Stina Ehrensvard寫道:“雖然Yubico之前啟動了BLE安全密鑰的開發(fā),并為BLE U2F標(biāo)準(zhǔn)的工作做出了貢獻(xiàn),但我們決定不推出該產(chǎn)品,因?yàn)樗环衔覀兊陌踩、可用性和耐用性?biāo)準(zhǔn)!
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個(gè)字
圖片新聞
最新活動更多
-
12月19日立即報(bào)名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市