Прошлым летом инженеры Google представили аппаратное решение для двухфакторной аутентификации, ключи Titan Security Key. Устройства Titan Security Key были выпущены в двух вариантах: USB и Bluetooth. Как стало известно теперь, гаджеты с поддержкой Bluetooth подвержены багу, с помощью которого злоумышленник может захватить управление устройствами жертвы и войти в ее учетные записи.
Корень уязвимости кроется в ошибке в процессе спаривания устройств с использованием Bluetooth. Находясь в зоне доступа Bluetooth атакующий может вмешаться в процесс спаривания (не важно, осуществляется тот впервые или же нет) и, например, спарить вредоносный девайс с машиной жертвы, а затем обратить это Bluetooth-устройство в клавиатуру.
Ключи поддерживающие только NFC и USB проблеме, разумеется, не подвержены.
Google объявила, что бесплатно заменит проблемные ключи всем пользователям. На специальной странице можно узнать, уязвим ли ваш Titan Security Key получит все необходимые инструкции для его замены.
Отмечу, что за пределами США устройства продаются под брендом Feitian и них тоже распространяются те же правила, то есть информация на упомянутой странице актуальна и для пользователей из других стран мира.
