تحذر Google من إمكانية اختراق مفاتيح أمان Bluetooth Titan بواسطة قراصنة قريبين

تحذر Google من أن المهاجمين القريبين يمكن أن يختطفهم المهاجمون القريبون من إصدار Bluetooth Low Energy لمفتاح الأمان Titan الذي تبيعه للمصادقة ثنائية العامل ، وتنصح الشركة المستخدمين بالحصول على جهاز بديل مجاني يعمل على إصلاح الثغرة الأمنية.

كتب مدير المنتجات السحابية في Google ، كريستيان براند ، في منشور نُشر يوم الأربعاء ، أن التهيئة الخاطئة في بروتوكولات إقران Bluetooth للمفتاح تتيح للمهاجمين على بعد 30 قدمًا إما التواصل مع المفتاح أو مع الجهاز المقترن به.

تعد الأجهزة التي تدعم تقنية Bluetooth واحدة من مجموعة متنوعة من مفاتيح الأمان منخفضة التكلفة والتي ، كما ذكرت آرس في عام 2016 ، تمثل الطريقة الوحيدة الأكثر فعالية لمنع عمليات الاستيلاء على الحساب للمواقع التي تدعم الحماية. بالإضافة إلى كلمة مرور الحساب التي أدخلها المستخدم ، يوفر المفتاح "تأكيدات التشفير" الثانوية التي يكاد يكون من المستحيل على المهاجمين تخمينها أو التصيد. مفاتيح الأمان التي تستخدم USB أو الاتصال بالحقل القريب لا تتأثر.

يتضمن الهجوم الذي وصفه العلامة التجارية اختطاف عملية الاقتران عندما ينفذ مهاجم على مسافة 30 قدمًا سلسلة من الأحداث بتنسيق وثيق:

  • عندما تحاول تسجيل الدخول إلى حساب على جهازك ، يُطلب منك عادةً الضغط على الزر الموجود على مفتاح الأمان BLE لتنشيطه. يمكن للمهاجمين على مقربة جسدية قريبة من تلك اللحظة في الوقت المناسب توصيل أجهزتهم بمفتاح الأمان المتأثر قبل اتصال جهازك. في هذه المجموعة من الظروف ، يمكن للمهاجم تسجيل الدخول إلى حسابك باستخدام أجهزته الخاصة إذا كان المهاجم قد حصل بالفعل بطريقة أو بأخرى على اسم المستخدم وكلمة المرور الخاصين به وكان بإمكانه تحديد وقت هذه الأحداث تمامًا.
  • قبل أن تتمكن من استخدام مفتاح الأمان الخاص بك ، يجب إقرانه بجهازك. بمجرد الاقتران ، يمكن للمهاجمين القريبين منك استخدام أجهزتهم للتنكر كمفتاح أمان متأثر والاتصال بجهازك في اللحظة التي يُطلب منك فيها الضغط على الزر الموجود على مفتاحك. بعد ذلك ، يمكنهم محاولة تغيير أجهزتهم للظهور على أنها لوحة مفاتيح أو ماوس Bluetooth وربما اتخاذ إجراءات على جهازك.

لكي تنجح عملية الاستيلاء على الحساب ، يجب على المهاجم أيضًا معرفة اسم المستخدم وكلمة المرور للهدف.

لمعرفة ما إذا كان مفتاح Titan ضعيفًا ، تحقق من الجزء الخلفي من الجهاز. إذا كان يحتوي على "T1" أو "T2" ، فهو عرضة للهجوم ويكون مؤهلاً لاستبداله مجانًا. وقال براند إن مفاتيح الأمان استمرت في تمثيل واحدة من أكثر الطرق ذات مغزى لحماية الحسابات ونصحت أن يواصل الناس استخدام المفاتيح أثناء انتظار واحدة جديدة. تبيع مفاتيح أمان Titan مقابل 50 دولارًا في متجر Google.

بينما ينتظر الناس بديلًا ، أوصى Brand بأن يستخدم المستخدمون المفاتيح في مكان خاص لا يقع على بعد 30 قدمًا من المهاجم المحتمل. بعد تسجيل الدخول ، يجب على المستخدمين إلغاء قفل مفتاح الأمان على الفور. يؤدي تحديث Android المقرر إجراؤه في الشهر التالي إلى إلغاء قفل مفاتيح أمان Bluetooth تلقائيًا حتى لا يضطر المستخدمون إلى القيام بذلك يدويًا.

قال براند إن نظام iOS 12.3 ، الذي بدأت شركة أبل طرحه يوم الاثنين ، لن يعمل مع مفاتيح الأمان الضعيفة. هذا له نتيجة مؤسفة لإغلاق الأشخاص خارج حساباتهم على Google إذا قاموا بتسجيل الخروج. أوصت العلامة التجارية الناس لا تسجيل الخروج من حساباتهم. يتمثل أحد تدابير السلامة الجيدة في استخدام تطبيق أداة المصادقة الاحتياطية ، على الأقل حتى وصول مفتاح جديد ، أو لتخطي نصيحة العلامة التجارية واستخدام تطبيق المصادقة ببساطة كوسيلة أساسية للمصادقة ثنائية العوامل.

هذه الحلقة أمر مؤسف لأنه ، كما تلاحظ على نطاق واسع ، تظل مفاتيح الأمان المادي أقوى حماية متوفرة حاليًا ضد الخداع وأنواع أخرى من عمليات الاستيلاء على الحساب. دفع كشف الأربعاء إلى تكديس وسائل التواصل الاجتماعي من منتقدي البلوتوث للوظائف الحساسة للأمان.

على سبيل المثال ، ما هو نوع بروتوكول الأحمق الذي يتيح للمستخدمين التفاوض على "الحد الأقصى لحجم المفتاح" الذي يمكن أن يكون بحجم بايت واحد. (افتراضي ، لحسن الحظ ، يجب أن يكون أعلى في الإصدارات الحديثة.) pic.twitter.com/7yFJqaMJLI

- ماثيو جرين (matthew_d_green) 15 مايو ، 2019

من المؤكد أن تهديد وجود المفتاح المختطف وعدم التوافق الحالي مع الإصدار الأخير من iOS من شأنه أن يولد مزيدًا من مقاومة المستخدم لاستخدام المفاتيح المستندة إلى بليه. يساعد التهديد أيضًا في توضيح سبب رفض شركة Apple وصانع المفاتيح البديل Yubico لفترة طويلة دعم مفاتيح تمكين بليه.

شاهد الفيديو: هل يمكن اختراق الايفون ! معلومات مهمة جدا لكل مستخدم ايفون !! (أبريل 2020).