A falha afecta algumas versões das chaves Titan com Bluetooth, que poderão ser identificadas pela referência T1 ou T2 inscrita na própria chave. A falha permite que um atacante que esteja fisicamente próximo na altura em que os utilizadores usarem a sua chave poderá "intrometer-se" no processo de comunicação Bluetooth, podendo obter o código da chave ou apresentar um dispositivo Bluetooth dele como sendo a chave de segurança, que posteriormente poderia reconfigurar como teclado ou rato para manipular o equipamento da vítima.
A Google fará a troca gratuita das chaves Titan afectadas por versões que não têm este problema, mas dá algumas recomendações para quem ainda as tiver.
Quem as estiver a utilizar no iOS 12.2 ou mais recente deverá fazer o "unpair" da chave após cada utilização. No mais recente iOS 12.3 as chaves afectadas já nem sequer funcionam, pelo que deverão ter cuidado para não ficarem bloqueados sem acesso à conta Google. Em dispositivos Android, a recomendação é também fazer o desemparelhamento da chave após cada utilização, algo que passará a ser feito automaticamente nos equipamentos que receberem a actualização de segurança de Junho 2019. As chaves USB e NFC continuam a poder ser utilizadas sem qualquer risco (conhecido).
Portanto, o ideal mesmo será substituir as chaves o mais rapidamente possível, mas o incidente está a servir de justificação para todos os que têm argumentado que não se deveria confiar no Bluetooth para este tipo de coisas.
Os da Yubico bem que me escreveram que não faziam chaves com Bluetooth, por considerarem que o Bluetooth é demasiado complexo para o conseguirem fazer de uma forma segura... e a maior parte dos outros acha o mesmo!
ResponderEliminarCuriosamente o NFC que também não parece ser seguro, já todos parecem gostar e aplicar em vários de seus produtos.