2019/05/16

Google troca chaves de segurança Titan devido a falha

Parece que não há forma de nenhum produto de segurança ser realmente seguro, e desta vez são as próprias chaves físicas Titan da Google que contêm uma vulnerabilidade que pode colocar os utilizadores em risco, sendo necessária a sua substituição.

A falha afecta algumas versões das chaves Titan com Bluetooth, que poderão ser identificadas pela referência T1 ou T2 inscrita na própria chave. A falha permite que um atacante que esteja fisicamente próximo na altura em que os utilizadores usarem a sua chave poderá "intrometer-se" no processo de comunicação Bluetooth, podendo obter o código da chave ou apresentar um dispositivo Bluetooth dele como sendo a chave de segurança, que posteriormente poderia reconfigurar como teclado ou rato para manipular o equipamento da vítima.


A Google fará a troca gratuita das chaves Titan afectadas por versões que não têm este problema, mas dá algumas recomendações para quem ainda as tiver.

Quem as estiver a utilizar no iOS 12.2 ou mais recente deverá fazer o "unpair" da chave após cada utilização. No mais recente iOS 12.3 as chaves afectadas já nem sequer funcionam, pelo que deverão ter cuidado para não ficarem bloqueados sem acesso à conta Google. Em dispositivos Android, a recomendação é também fazer o desemparelhamento da chave após cada utilização, algo que passará a ser feito automaticamente nos equipamentos que receberem a actualização de segurança de Junho 2019. As chaves USB e NFC continuam a poder ser utilizadas sem qualquer risco (conhecido).

Portanto, o ideal mesmo será substituir as chaves o mais rapidamente possível, mas o incidente está a servir de justificação para todos os que têm argumentado que não se deveria confiar no Bluetooth para este tipo de coisas.

1 comentário:

  1. Os da Yubico bem que me escreveram que não faziam chaves com Bluetooth, por considerarem que o Bluetooth é demasiado complexo para o conseguirem fazer de uma forma segura... e a maior parte dos outros acha o mesmo!
    Curiosamente o NFC que também não parece ser seguro, já todos parecem gostar e aplicar em vários de seus produtos.

    ResponderEliminar

[pub]