“如果密钥背面有'T1'或'T2',那么你的密钥会受到问题的影响而且有资格免费更换,”谷歌今天在一篇博文中表示。
谷歌的Titan品牌钥匙仅在美国销售。同样的钥匙在其他国家以其原有的飞天品牌销售。谷歌发言人告诉ZDNet,非美国用户可以使用相同的google.com/replacemykey页面检查他们的飞天键是否受到影响,但如果用户受到影响并有资格获得新密钥,飞天将负责替换流程。
安全漏洞
据Google称,安全漏洞是由于“Titan Security Keys的蓝牙配对协议配置错误”。
这个漏洞可以被实际存在(在大约30英尺内)Titan用户的攻击者利用,并且当用户正常使用该密钥时,或者当他们第一次将其与他们的计算机配对时。
例如,当用户首先将他们的Titan安全密钥与其设备配对时,攻击者可以利用蓝牙配对协议中的缺陷来劫持此过程,并将恶意蓝牙设备与用户的计算机配对。攻击者稍后可以将此恶意设备重新分配为蓝牙键盘,以后他们可以使用它来运行恶意命令来劫持用户的设备。
此外,当设备所有者按下Titan安全密钥上的激活按钮以登录在线帐户时,攻击者还可以授权恶意设备访问该帐户 - 只要攻击者也拥有有效密码即可。
GOOGLE:用户应继续使用密钥
正是由于这些原因,谷歌正在取代这些密钥。但是,该公司建议用户在获得替换之前不要停止使用密钥,因为与不使用安全密钥相比,他们可以提供增强的安全性。
“使用具有此问题的密钥仍然更安全,而不是在您的Google帐户上关闭基于安全密钥的两步验证(2SV)或降级为更少的防网络钓鱼方法(例如发送给您的短信代码或提示设备),“谷歌说。
谷歌去年7月宣布推出Titan安全密钥。该公司针对故障蓝牙供电的Titan安全密钥的所有者发布了以下建议,直到更换到货。
iOS设备:
在运行iOS 12.2或更早版本的设备上,我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用密钥在设备上登录Google帐户后,请立即取消配对。在等待更换时,您可以再次以这种方式使用密钥,直到您更新到iOS 12.3。
更新到iOS 12.3后,受影响的安全密钥将不再有效。您将无法使用受影响的密钥登录自己的Google帐户或受密钥保护的任何其他帐户,并且您需要订购替换密钥。如果您已在iOS设备上登录自己的Google帐户,请不要注销,因为在获得新密钥之前您将无法再次登录。如果您在更换密钥到达之前锁定了iOS设备上的Google帐户,请参阅这些说明以重新访问您的帐户。请注意,您可以继续在非iOS设备上登录Google帐户。
在Android和其他设备上:
我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用受影响的安全密钥登录Google帐户后,请立即取消配对。使用即将到来的2019年6月安全补丁级别(SPL)更新的Android设备将自动取消受影响的蓝牙设备,因此您无需手动取消配对。您还可以继续使用Android上支持的USB或NFC安全密钥,但不受此问题的影响。