Google har oppdaget en sikkerhetsfeil i Bluetooth Low Energy-utgaven av selskapets Titan Security Key. I utgangspunktet selges sikkerhetsnøkkelen kun i USA, men mange har nok også funnet veien til andre land, inkludert Norge.
Feilen er knyttet til Bluetooth-paring og gjør det mulig for angripere å kommunisere med både sikkerhetsnøkkelen og enheten den er paret med, dersom angriperen er fysisk i nærheten av sikkerhetsnøkkelen. Google oppgir at dette kan være inntil ni meter.
Når brukeren forsøker å logge seg på et nettsted og trykker på knappen på nøkkelen for å bekrefte dette, kan det hende at dette samtidig bekrefter angriperens innlogging på den samme kontoen. Dette forutsetter dog at angriperen kjenner både brukernavnet og passordet til kontoen, samt er i stand til å koordinere sin innlogging med innloggingen til offeret.
– Fortsatt sikrere enn annen 2FA
Ifølge Google forhindrer ikke sikkerhetsfeilen hovedhensikten med nøkkelen, nemlig å beskytte mot phishingforsøk fra en angriper som befinner seg langt borte. Google fraråder derfor at brukerne slutter å bruke nøkkelen, siden den uansett anses som sikrere enn andre autentiseringsmetoder. Men det finnes tilsvarende produkter også fra andre leverandører.
Men selskapet anbefaler at sikkerhetsnøkkelen og mobilen kobles fra hverandre etter hver innlogging. I sikkerhetsoppdateringen som Google skal utgi i begynnelsen av juni, vil det være inkludert funksjonalitet som sørger for at berørte Bluetooth-enheter automatisk kobles fra hverandre.
Brukere som har knyttet den aktuelle sikkerhetsnøkkelen til Google-kontoen sin, kan be om å få tilsendt en gratis erstatning.
USB- og NFC-variantene av Titan Security Key er ikke berørt av sårbarheten.
Google skal ha sluttet å selge Titan Security Key tidligere i år. Det er uklart om det har sammenheng med sikkerhetsfeilen som nå er offentliggjort.
Bakgrunn: Her er Googles nye «våpen» mot svindlere
