2min

De Titan Security Key van Google blijkt een beveiligingsfout te bevatten. De beveiligingssleutels hebben een verkeerd geconfigureerd protocol voor pairing met Bluetooth. Aanvallers kunnen daardoor de encryptie omzeilen en gebruikersaccounts overnemen.

Google onthulde de fout zelf, schrijft Cloud Pro. Als gebruikers proberen in te loggen, moeten zij een knop op de Bluetooth-sleutel indrukken op de loginpoging te verifiëren. Nu is echter ontdekt dat direct na die druk op de kop, aanvallers een klein moment hebben om hun eigen apparaat met de sleutel te verbinden. Dat kan resulteren in dat de aanvallers inloggen op het account van gebruikers via hun eigen devices. Daarvoor moeten ze al wel de e-mailadressen en wachtwoorden van de gebruiker shebben.

De Titan Security Key werkt als een extra authenticatiestap en is via Bluetooth gelinkt aan het apparaat van een gebruiker, zoals een telefoon of een laptop. Een fout in die verbinding betekent dat aanvallers de telefoon of laptop kunnen laten denken dat de devices van de aanvallers zelf de beveiligingssleutel zijn. Als dat lukt, kunnen aanvallers het authenticatieproces omzeilen en wijzigingen doorbrengen aan het de devices van de aangevallen eindgebruikers.

Vervanging

Google heeft beloofd vervangende exemplaren aan te bieden. De Titan Security Key wordt sinds augustus vorig jaar aan consumenten verkocht. Google noemde dat toen nog de “sterkste, meest tegen phishing resistente methode van tweestapsverificatie op de markt”.

Google stelt verder dat de beveiligingssleutels nog steeds werken en nog altijd multifactor authentication in een FIDO-standaard bieden die sterker is dan reguliere tweestapsverificatie. Mochten gebruikers echter een nieuwe versie willen zonder de kwetsbaarheid, dan hoeven ze hier niet de gebruikelijke 50 dollar voor te betalen.

“De fout treft alleen pairing via Bluetooth. Beveiligingssleutels zonder Bluetooth zijn dus niet kwetsbaar”, aldus Christiaan Brand, product manager bij Google Cloud. “Huidige gebruikers van Bluetooth Titan Security Keys zouden hun bestaande sleutels moeten blijven gebruiken terwijl ze wachten op vervanging, aangezien beveiligingssleutels de sterkste bescherming tegen phishing bieden.”