Titan安全金鑰是由谷歌推出的一款防範網上誘騙的雙重身份驗證 (2FA) 裝置,內建硬體晶片,其中包含由 Google 設計的韌體,用於驗證金鑰的完整性。它主要為IT管理員這樣的高價值使用者提供妥善的安全保護,並防範賬號被盜用。不過近期谷歌發現Titan存在安全隱患,允許攻擊者在物理接近的時候訪問安全金鑰或者和它配對的裝置。
由於藍芽低功耗(BLE)版本Titan安全金鑰的無線配對協議中存在錯誤配置,導致谷歌宣佈召回這批裝置。當Titan安全金鑰和配對的裝置進行通訊的時候,這個錯誤允許攻擊者在大約30英尺範圍內發起攻擊。根據谷歌官方的概述:
當您嘗試在裝置上登入帳戶時,通常會要求您按BLE安全金鑰上的按鈕將其啟用。在此時刻身臨近距離的攻擊者可能會在您自己的裝置連線之前將自己的裝置連線到受影響的安全金鑰。在這種情況下,如果攻擊者以某種方式已經獲得您的使用者名稱和密碼並且可以準確地計算這些事件,則攻擊者可以使用他們自己的裝置登入您的帳戶。
在使用安全金鑰之前,必須將其與您的裝置配對。配對後,與您近距離接觸的攻擊者可以使用他們的裝置偽裝成受影響的安全金鑰,並在您被要求按下金鑰上的按鈕時連線到您的裝置。之後,他們可能會嘗試將其裝置更改為藍芽鍵盤或滑鼠,並可能會對您的裝置執行操作。
如果你手頭上就有一個Titan安全金鑰,那麼可以透過檢查裝置背面來確認是否受到影響。如果您看到“T1”或“T2”,那麼您的金鑰會受到影響,您有資格獲得免費更換。由於該錯誤僅影響藍芽配對,因此安全金鑰的非藍芽版本不受影響。
Titan安全金鑰是由谷歌推出的一款防範網上誘騙的雙重身份驗證 (2FA) 裝置,內建硬體晶片,其中包含由 Google 設計的韌體,用於驗證金鑰的完整性。它主要為IT管理員這樣的高價值使用者提供妥善的安全保護,並防範賬號被盜用。不過近期谷歌發現Titan存在安全隱患,允許攻擊者在物理接近的時候訪問安全金鑰或者和它配對的裝置。
由於藍芽低功耗(BLE)版本Titan安全金鑰的無線配對協議中存在錯誤配置,導致谷歌宣佈召回這批裝置。當Titan安全金鑰和配對的裝置進行通訊的時候,這個錯誤允許攻擊者在大約30英尺範圍內發起攻擊。根據谷歌官方的概述:
當您嘗試在裝置上登入帳戶時,通常會要求您按BLE安全金鑰上的按鈕將其啟用。在此時刻身臨近距離的攻擊者可能會在您自己的裝置連線之前將自己的裝置連線到受影響的安全金鑰。在這種情況下,如果攻擊者以某種方式已經獲得您的使用者名稱和密碼並且可以準確地計算這些事件,則攻擊者可以使用他們自己的裝置登入您的帳戶。
在使用安全金鑰之前,必須將其與您的裝置配對。配對後,與您近距離接觸的攻擊者可以使用他們的裝置偽裝成受影響的安全金鑰,並在您被要求按下金鑰上的按鈕時連線到您的裝置。之後,他們可能會嘗試將其裝置更改為藍芽鍵盤或滑鼠,並可能會對您的裝置執行操作。
如果你手頭上就有一個Titan安全金鑰,那麼可以透過檢查裝置背面來確認是否受到影響。如果您看到“T1”或“T2”,那麼您的金鑰會受到影響,您有資格獲得免費更換。由於該錯誤僅影響藍芽配對,因此安全金鑰的非藍芽版本不受影響。