Компания Google сообщила об отзыве аппаратных ключей безопасности Titan Security Key в связи с обнаруженной уязвимостью, связанной с сопряжением по Bluetooth. Согласно информации в блоге компании, баг позволяет злоумышленнику, находящемуся на расстоянии примерно 9 м от устройства, взамодействовать с ключом или гаджетом.

Проблема вызвана некорректной конфигурацией протоколов сопряжения по Bluetooth в Titan Security Key и затрагивает только Bluetooth Low Energy (BLE)-версию решения. Версия, работающая через USB и NFC, уязвимости не подвержена.

Как отмечается, баг достаточно сложно проэксплуатировать, для этого атакующему потребуется иметь доступ к учетной записи жертвы и суметь подключиться к аппаратному ключу до того, как к нему подключится устройство пользователя.

Компания пообещала бесплатно заменить все уязвимые ключи.

Titan Security Key — аппаратное решение, предназначенное для надежной аутентификации и авторизации с применением устройств USB или Bluetooth.

Источник: securitylab.ru