您的位置:首页>科技 >内容

谷歌将更换有故障的泰坦安全密钥

2019-05-17 17:46:29来源:
导读在去年7月一场华丽的推出后,谷歌今天宣布,由于该公司在按键的蓝牙配对过程中发现的漏洞,它将取代Titan安全密钥。谷歌表示,安全漏洞允许

在去年7月一场华丽的推出后,谷歌今天宣布,由于该公司在按键的蓝牙配对过程中发现的漏洞,它将取代Titan安全密钥。谷歌表示,安全漏洞允许攻击者接管用户的设备和/或登录用户的帐户,尽管在某些条件下密钥应该是安全的。拥有可通过蓝牙与设备配对(连接)的Titan安全密钥的所有用户现在都有资格免费更换没有蓝牙功能的Titan安全密钥不受影响,例如那些通过NFC或USB工作的安全密钥。蓝牙功能的Titan密钥的所有者可以访问此页面以查看他们的设备是否容易受到攻击,他们将收到有关如何申请和接收替换设备的说明。

“如果密钥背面有'T1'或'T2',那么你的密钥会受到问题的影响而且有资格免费更换,”谷歌今天在一篇博文中表示。

谷歌的Titan品牌钥匙仅在美国销售。同样的钥匙在其他国家以其原有的飞天品牌销售。谷歌发言人告诉ZDNet,非美国用户可以使用相同的google.com/replacemykey页面检查他们的飞天键是否受到影响,但如果用户受到影响并有资格获得新密钥,飞天将负责替换流程。

安全漏洞

据Google称,安全漏洞是由于“Titan Security Keys的蓝牙配对协议配置错误”。

这个漏洞可以被实际存在(在大约30英尺内)Titan用户的攻击者利用,并且当用户正常使用该密钥时,或者当他们第一次将其与他们的计算机配对时。

例如,当用户首先将他们的Titan安全密钥与其设备配对时,攻击者可以利用蓝牙配对协议中的缺陷来劫持此过程,并将恶意蓝牙设备与用户的计算机配对。攻击者稍后可以将此恶意设备重新分配为蓝牙键盘,以后他们可以使用它来运行恶意命令来劫持用户的设备。

此外,当设备所有者按下Titan安全密钥上的激活按钮以登录在线帐户时,攻击者还可以授权恶意设备访问该帐户 - 只要攻击者也拥有有效密码即可。

GOOGLE:用户应继续使用密钥

正是由于这些原因,谷歌正在取代这些密钥。但是,该公司建议用户在获得替换之前不要停止使用密钥,因为与不使用安全密钥相比,他们可以提供增强的安全性。

“使用具有此问题的密钥仍然更安全,而不是在您的Google帐户上关闭基于安全密钥的两步验证(2SV)或降级为更少的防网络钓鱼方法(例如发送给您的短信代码或提示设备),“谷歌说。

谷歌去年7月宣布推出Titan安全密钥。该公司针对故障蓝牙供电的Titan安全密钥的所有者发布了以下建议,直到更换到货。

iOS设备:

在运行iOS 12.2或更早版本的设备上,我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用密钥在设备上登录Google帐户后,请立即取消配对。在等待更换时,您可以再次以这种方式使用密钥,直到您更新到iOS 12.3。

更新到iOS 12.3后,受影响的安全密钥将不再有效。您将无法使用受影响的密钥登录自己的Google帐户或受密钥保护的任何其他帐户,并且您需要订购替换密钥。如果您已在iOS设备上登录自己的Google帐户,请不要注销,因为在获得新密钥之前您将无法再次登录。如果您在更换密钥到达之前锁定了iOS设备上的Google帐户,请参阅这些说明以重新访问您的帐户。请注意,您可以继续在非iOS设备上登录Google帐户。

在Android和其他设备上:

我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用受影响的安全密钥登录Google帐户后,请立即取消配对。使用即将到来的2019年6月安全补丁级别(SPL)更新的Android设备将自动取消受影响的蓝牙设备,因此您无需手动取消配对。您还可以继续使用Android上支持的USB或NFC安全密钥,但不受此问题的影响。

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章